关于Android应用开发的一些安全注意事项
2014-06-06 08:17
621 查看
http://developer.android.com/training/articles/security-tips.html
Android已经具有内置到操作系统的安全功能,显著降低应用安全问题的频次和影响,但作为应用程序开发人员,我们也需要注意在开发应用程序时的安全问题. 安全级别是取决于应用程序的类型和域. 这里有我们需要注意的一些潜在的安全问题,我已经收集到了这篇文章中.
在这里我列出来在开发应用中需要保护应用程序最常见的一些事项:
1.不要把私人或敏感数据储存在SD卡。要存储在内部存储的文件,请使用以下的模式(Context.MODE_PRIVATE)openFileOutput&openFileInput方法。如果你真的想将数据存储在SD卡,然后对它进行加密使用.
2.通过标识exported flag 为false限制ContentProvider的使用,当然并不一定每个应用中都这样使用,只是在没有与其他应用交互的情况下要标识为false.
3.限制的WebView来访问本地数据。 HTML5和相关技术已经普遍应用在移动Web应用程序或混合型(Hybird)应用程序。对于Hybrid采用的WebView从本地存储显示的HTML或从服务器获取HTML和的其他内容。对于webview重大安全问题是setAllowFileAccess()和setAllowContentAccess()方法.
4.通过BroadCastReceiver和Intent不传递敏感信息。使用LocalBroadcastManager的进程内/应用程序的广播数据传递。 使用LocalBroadcastManager需要supportv4.jar.
5.不要在LogCat中打印敏感信息。喜欢的用户名,密码,Web服务的URL,请求或响应信息等细节.
6.在应用上线前去除没有必要的log日志
7.不接收处理一些恶意伪造的Intent.在之前的BroadcastReceiver的方法的OnReceive()方法中收到的Intent,验证调用者的包名,动作等信息。
8.给Service加上对应的自定义权限.如果只有自己的应用使用时可以加上 exported = false(同ContentProvider).
9.限制Activity的访问,.如果只有自己的应用使用时可以加上 exported = false.
10.应用发布之前确保debug mode 为false.
11.对于跨应用程序的功能,应用程序响应之前验证调用.
12.服务器验证方面可以使用基于Https的访问.
13.当你觉得某些变量或者方法在Java层容易破解的时候,可以把对应变量改为用JNI的方式去获取
14.使用ProGuard 文件混淆代码
15.移除from AndroidManifest.xml中不必要的权限.
16.慎用DexClassLoader 加载应用程序之外的dex文件.
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 关于Android应用开发的一些安全注意事项
- 关于Android应用开发的一些安全注意事项
- 关于Android应用开发的一些安全注意事项
- 关于Android应用开发的一些安全注意事项
- Android应用开发的一些安全注意事项
- 应用开发的一些安全注意事项
- Android应用开发中,需要注意的一些事项
- 使用Eclipse开发Android源码的一些注意事项
- 关于开发的一些注意事项
- 关于Android的JNI开发SO库调java接口函数注意事项
- 关于安全编写代码的一些注意事项[参照msdn],这些在编程基础中都已经相当重要了!
- Android生存指南:一些开发注意事项
- Android 关于Fragment一些简单注意事项
- android 系统应用 开发 注意事项(该版本采用方法效率较高)
- android开发——一些非技术错误[注意事项]
- 关于Android的一些基础注意事项
- Android 平台上蓝牙开发的关于 UUID 设置的注意事项
- 关于Qt开发iPhone/iPad和Android环境下的应用的一些问题
- 如何提高android程序运行效率,程序员在开发过程中应当注意的一些事项
- android笔记2——关于图片缓存的一些注意事项