2. 程式人生 > >Android 元件安全

Android 元件安全

阿新 發佈:2018-12-30

     1、Activity、Service、BroadcastReceiver、ContentProvider是Android的四大元件,他們的安全性是非常重要的。四大元件的安全漏洞主要集中在是否可以被外部呼叫,外部呼叫是否存在風險。

     四大元件是否可以被外部呼叫,決定因素是在AndroidManifest.xml裡面定義的四大元件的標籤export的布林值。如下:

<activity  
            android:name=".PartActivity"  
            android:theme="@android:style/Theme.Dialog" 
            android:export="true">  
</activity>

    export為true,表示PartActivity可以被外部呼叫。export如果為false,表示PartActivity不可以被外部呼叫。

    我們注意到我們在定義四大元件時,經常是不寫export這個標籤的,那麼系統預設的export是什麼呢?

    (1)、如果四大元件包含intent-filter,那麼Android系統認為這個元件可以被外部通過隱式呼叫,所以預設export為true。

<activity  
            android:name=".MainActivity"  
            android:label="MainActivity" >  
            <intent-filter>  
                <action android:name="android.intent.action.MAIN" />  
  
                <category android:name="android.intent.category.LAUNCHER" />  
            </intent-filter>  
</activity>

    (2)、如果四大元件不包含intent-filter,那麼Android系統認為這個元件值只可以被內部通過顯式呼叫,所以預設export為false。

<activity  
            android:name=".PartActivity"  
            android:theme="@android:style/Theme.Dialog" >  
</activity>

     2、為了增加四大元件的安全,可以定義訪問某個元件需要某個許可權。
	<activity  
				android:name=".PartActivity"  
				android:theme="@android:style/Theme.Dialog" >  
				android:permission="com.example.test.permission"
	</activity>

	<permission android:name="com.example.test.permission"  
			android:protectionLevel="dangerous"  
			android:label="test"  
			android:description="test_permission" />
    如果需要使用必須在AndroidManifest.xml,通過申請許可權可以,另外也要注意protectionLevel,如果是Signature,那麼只有和這個應用使用相同私鑰簽名的應用才可以申請這個許可權。
<uses-permission android:name="com.example.test.permission" />
    

     3、Intent啟動不同元件的方法如下:         

元件名稱

方法名稱

Activity                                                                         

startActivity()

startActivityForResult()                                                                                                                                               

Service

startService()

bindService()

Broadcasts

sendBroadcast()

sendOrderedBroadcast()

sendStickyBroadcast()


     sendBroadcast,有一個方法,可以不用在AndroidManifest.xml裡面宣告,uses-permission;直接傳送時附帶許可權,sendBroadcast(intent, receiverPermission)。動態註冊的receiver可以在程式碼中指定需要訪問它所需要的許可權。

    4、ContentProvider安全

<provider
    android:name=".StudentContentProvider"
    android:authorities="com.example.loadermanagerdemo.StudentContentProvider" 
	android:readPermission="com.example.testapps.readPermission"
	android:writePermission="com.example.testapps.writePermission"
	>
</provider>
    需要讀contentProvider時,要申請readPermission,需要寫contentProvider時,需申請writePermission。

相關推薦

Android 元件安全

     1、Activity、Service、BroadcastReceiver、ContentProvider是Android的四大元件,他們的安全性是非常重要的。四大元件的安全漏洞主要集中在是否可以被外部呼叫,外部呼叫是否存在風險。     四大元件是否可以被外部呼叫,

Android研發安全2-Activity元件安全(下)

       這篇文章是Android研發安全之Activity元件安全第二篇,本文將給大家分享Activity介面劫持方面的預防知識。 什麼是Activity劫持        簡單的說就是APP正常的Activity介面被惡意攻擊者替換上仿冒的惡意A

Android靜態安全檢測 -> Broadcast Receiver元件暴露

Broadcast Receiver元件暴露 - exported屬性 一、android:exported 該屬性用來標示,當前Broadcast Receiver是否可以從當前應用外部獲取Rec

Android研發安全1-Activity元件安全(上)

       Activity元件是使用者唯一能看見的元件,作為軟體所有功能的顯示載體,其安全性不言而喻。針對Activity元件安全,作為一個安卓開發者來講需要在日常開發過程中注意兩點: - Activity訪問許可權的控制 - Activity被劫持

Android靜態安全檢測 -> Content Provider元件暴露

Content Provider元件暴露 - exported屬性 一、android:exported 該屬性指示了content provider是否可以被其他應用程式使用 1. true 代

Android研發安全-Activity元件安全(上)

       Activity元件是使用者唯一能看見的元件,作為軟體所有功能的顯示載體,其安全性不言而喻。針對Activity元件安全,作為一個安卓開發者來講需要在日常開發過程中注意兩點: - Activity訪問許可權的控制 - Activity被劫持 本篇文章將分享Activity訪問許可權控制方面

Android靜態安全檢測 -> Activity元件暴露

Activity元件暴露 - exported屬性 一、android:exported 該屬性用來標示,當前Activity是否可以被另一個Application的元件啟動 1. true 表示

android手機安全衛士、Kotlin漫畫、支付寶動畫、沈浸狀態欄等源碼

文字 多源 href fragment 四種 cimage ++ 條件 支付 Android精選源碼 輕量級底部導航欄 android手機衛士源碼 android實現高仿今日頭條源碼 一個用Kotlin寫的簡單漫畫App源碼

Android元件系列----Android Service元件深入解析

【前言】 花了週末兩天的時間,整理了一下作為Android四大元件之一的Service的基礎知識,通過這篇文章,應該可以明白:對Service的理解、在什麼地方使用、怎麼使用、要注意哪些問題等。 【本文主要內容】 一、Service的基本概念(四大元件之一)二、定義(啟動)一個Servi

Android 元件之Fragment建立小述

一、概述 Fragment是一種控制器物件,Activity可委派它完成一些任務。通常這些任務就是管理使用者介面,受管的介面可以是一整屏或者是整屏的一部分。Activity檢視含有可供Fragment檢視插入的位置,如果有多個Fragment要插入,Activity檢視也可提供多個位

Android 元件之Fragment與Activity通訊小述

一、概述 本節主要介紹一下Fragment與Activity的互動方式,當然方法肯定並不是唯一的,我在這裡只是將自己平時的思路記錄一下,算是拋磚引玉 二、Fragment接收Activity傳遞的資料 我們想從Fragment內獲取它的託管Activity中的資料,這種情況我

Android 元件之Fragment旋轉屏幕後的資料保留問題小述

一、概述 我們知道,當我們旋轉螢幕或者裝置配置發生變化的時候,Fragment和Activity都會被銷燬並被重建,在這個過程中就會使之前的資料丟失或成員變數被初始化從而產生問題,所以接下來我們就簡單分析下解決方法。 二、正文 解決這個問題我們首先想到的當然是onSaveIn

Android 元件之DialogFragment建立小述

一、概述 本節主要簡單介紹下DialogFragment的使用,DialogFragment是Fragment的子類,跟其他Fragment一樣,DialogFragment例項也是由託管Activity的FragmentManager管理著的,DialogFragment可通過呼叫

Android 元件之FragmentManager與FragmentTransaction小述

一、概述 本節主要分析下FragmentManager與FragmentTransaction的內部程式碼,瞭解一下當我們提交事務時,兩者是怎麼協調處理的 二、FragmentManager的介紹 關於FragmentManager的內容我們可以檢視官網FragmentMan

Android元件化之元件通訊

Demo地址:https://github.com/751496032/ComponentDemo 本文是續上一篇Android元件化方案實踐與思考文章一些思考,主要是針對元件間通訊,比如: 每個元件如何初始化各自的資料 Activity間如何跳轉、Fragment例項

Android元件化方案實踐與思考

Demo地址:https://github.com/751496032/ComponentDemo 效果圖: 背景 Android從誕生到現在,不知不覺的走過十多個年頭了,也產生了很多App,隨著專案的推進不斷的迭代,而App也從最初的單一功能演變成多工功能,各種業務的錯綜

Android 元件系列 -- Activity 啟動流程(9.0)

在學習完Android應用程式啟動過程原始碼分析,針對最新Android9.0的程式碼,以相應的順序再次學習。在9.0的版本中對於Activity的啟動流程上並沒有太大的變化,但是在程式碼層面,改動的卻很多。 流程概覽 以Launcher啟動APP為例: Lau

Android元件化框架搭建

本篇文章已授權微信公眾號 hongyangAndroid (鴻洋)獨家釋出 背景 當一個專案經過N手人開發,N個產品經理的蹂躪,N長時間的維護,此時一定存在大量程式碼冗餘、業務耦合、專案臃腫,資原始檔大把重複等等,不堪重負。當需要增加新功能或者修改之前某個功能的時候,我相信很多同仁都說只敢

android進階3step1:Android元件通訊——Service基礎

轉:https://www.jianshu.com/p/95ec2a23f300 Android Service使用詳解   轉:https://www.jianshu.com/p/4c798c91a613 Android Service兩種啟動方式詳解(總結版

android進階3step1:Android元件通訊——事件框架匯流排Otto

事件框架匯流排Otto 一、Otto是什麼? Otto是基於Guava專案的Android系統的一個EventBus模式類庫,如果你在Android程式開發的過程中想要不同的元件之間進行有效的通訊可以使用這個庫。通過Otto庫可以降低程式之間的耦合性。 二、Otto&nbs