關於Android應用開發的一些安全注意事項

標籤：result   bug   use   support   stat   cal   views   receive   url   

原文地址: http://www.javacodegeeks.com/2014/05/simple-tips-to-secure-android-app.html

????????????????? http://developer.android.com/training/articles/security-tips.html

Android已經具有內建到作業系統的安全功能。顯著減少應用安全問題的頻次和影響，但作為應用程式開發人員，我們也須要注意在開發應用程式時的安全問題. 安全層級是取決於應用程式的類型和域. 這裡有我們須要注意的一些潛在的安全問題,我已經收集到了這篇文章中.

在這裡我列出來在開發應用中須要保護應用程式最常見的一些事項:

1.不要把私人或敏感性資料儲存在SD卡。

要儲存在內部儲存的檔案，請使用下面的模式（Context.MODE_PRIVATE）openFileOutput＆openFileInput方法。假設你真的想將資料存放區在SD卡。然後對它進行加密使用.

2.通過標識exported flag 為false限制ContentProvider的使用，當然並不一定每一個應用中都這樣使用，僅僅是在沒有與其它應用互動的情況下要標識為false.

3.限制的WebView來訪問本機資料。

HTML5和相關技術已經普遍應用在移動Web應用程式或混合型(Hybird)應用程式。對於Hybrid採用的WebView從本機存放區顯示的HTML或從server擷取HTML和的其它內容。對於webview重大安全問題是setAllowFileAccess()和setAllowContentAccess()方法.

4.通過BroadCastReceiver和Intent不傳遞敏感資訊。使用LocalBroadcastManager的進程內/應用程式的廣播資料傳遞。

使用LocalBroadcastManager須要supportv4.jar.

5.不要在LogCat中列印敏感資訊。喜歡的username，password，Web服務的URL。請求或響應資訊等細節.

6.在應用上線前去除沒有必要的log日誌

7.不接收處理一些惡意偽造的Intent.在之前的BroadcastReceiver的方法的OnReceive()方法中收到的Intent。驗證調用者的包名，動作等資訊。

8.給Service加上相應的自己定義許可權.假設僅僅有自己的應用使用時能夠加上 exported = false(同ContentProvider).

9.限制Activity的訪問,.假設僅僅有自己的應用使用時能夠加上 exported = false.

10.應用公布之前確保debug mode 為false.

11.對於跨應用程式的功能，應用程式響應之前驗證調用.

12.server驗證方面能夠使用基於Https的訪問.

13.當你認為某些變數或者方法在Java層easy破解的時候，能夠把相應變數改為用JNI的方式去擷取

14.使用ProGuard 檔案混淆代碼

15.移除from AndroidManifest.xml中不必要的許可權.

16.慎用DexClassLoader 載入應用程式之外的dex檔案.

關於Android應用開發的一些安全注意事項