欢迎光临计算机基础知识学习乐园-电脑医生网!

关于Android应用开发的一些安全注意事项

http://www.dndoctor.net 时间:2014-06-07 16:11 来源:未知 作者:乜欣 点击:次 (编辑:乜欣)

Android已经具有 内置到 操作系统的安全 功能, 显著 降低 应用安全问题 的 频次和影响 ,但 作为 应用程序开发人员 ,我们也需要注意在开发应用程序时的安全问题. 安全级别 是 取决

 Android已经具有 内置到 操作系统的安全 功能, 显著 降低 应用安全问题 的 频次和影响 ,但 作为 应用程序开发人员 ,我们也需要注意在开发应用程序时的安全问题. 安全级别 是 取决于 应用程序的类型 和 域. 这里有 我们需要注意的一些潜在的安全问题 ,我已经收集到了这篇文章中.

在这里 我列出来 在开发应用中需要 保护应用程序 最常见的一些事项 :

1. 不要把 私人或 敏感数据 储存 在 SD卡 。 要存储 在 内部存储 的文件 ,请使用以下 的 模式 ( Context.MODE_PRIVATE ) openFileOutput & openFileInput 方法。 如果你 真的想 将数据存储在 SD卡 ,然后 对它进行加密 使用.

2.通过标识 exported flag 为false限制ContentProvider的使用,当然并不一定每个应用中都这样使用,只是在没有与其他应用交互的情况下要标识为false.

3. 限制 的WebView 来访问 本地数据 。 HTML5和 相关技术 已经普遍应用在 移动Web 应用 程序 或 混合型(Hybird) 应用程序。 对于 Hybrid采用 的WebView 从 本地存储 显示 的HTML 或 从服务器 获取HTML和 的其他 内容 。 对于 webview 重大安全问题 是 setAllowFileAccess ()和 setAllowContentAccess () 方法 .

4. 通过BroadCastReceiver 和Intent 不 传递敏感 信息。 使用LocalBroadcastManager 的 进程 内 / 应用程序的 广播数据传递 。 使用LocalBroadcastManager 需要supportv4.jar.

5. 不要在 LogCat中 打印 敏感信息。 喜欢 的用户名 , 密码 , Web服务 的URL ,请求或响应 信息等 细节.

6.在应用上线前去除没有必要的log日志

7. 不接收处理一些 恶意伪造的 Intent. 在 之前 的 BroadcastReceiver的 方法 的OnReceive ()方法中 收到的 Intent , 验证 调用者 的包名 ,动作 等信息 。

8.给Service加上对应的自定义权限.如果只有自己的应用使用时可以加上 exported = false(同ContentProvider).

9.限制Activity的访问,.如果只有自己的应用使用时可以加上 exported = false.

10.应用发布之前确保debug mode 为false.电脑医生

11. 对于跨 应用程序 的功能 , 应用程序 响应之前 验证 调用 .

12.服务器验证方面可以使用基于Https的访问.

13.当你觉得某些变量或者方法在Java层容易破解的时候,可以把对应变量改为用JNI的方式去获取

14. 使用 ProGuard 文件混淆代码

15.移除from AndroidManifest.xml中不必要的权限.

16.慎用 DexClassLoader 加载应用程序之外的dex文件.

相关文章
关于网站 | 网站声明 | 用户反馈 | 合作伙伴 | 联系站长 | 全讯网|
友情链接:狗狗网 |对联网| 微信下载手机版 | 阳谷信息港 | 电脑医生网 | 生物诊断网 | 麦词网 | 如皋信息网 | 足球比分 | 护士网 | 第一英语 | 四川大学论坛| 中南民族大学论坛| 华科论坛 |西邮论坛 |东北师范大学论坛 | 北理bbs|首经贸论坛 |安徽机电学生论坛 | 电子科技大学论坛|浙江师范大学 | 上海师范大学论坛 | 山东大学论坛 | 天津大学论坛
Copyright © 2011 www.dndoctor.net 版权所有
蜀ICP(备)1101113