Use least privilege 申请的权限和实际使用的现在有工具检测了。
● Do not unnecessarily export components 组件不要轻易导出,即使导出也最好用signorsystem权限验证
● Handle intents carefully intent 可能导致信息泄露,还可能导致注入!
● Justify any custom permissions 自定义权限要谨慎哦
● Use PendingIntents to protect against Intent Reflection PendingIntents比较特殊,建议看专门介绍。
● Mutually authenticate services 相互认证?
● Use APIs to construct ContentProvider URIs url力度 控制很重要。
● Watch WebView caching webview不光cache,一大堆问题,专题介绍。
● Avoid Native Code (and review what you write) ,有问题也得用!
● Use HTTPS https,certifcate pin ,ssl中常见的问题,很大的课题。
● Store very little data locally 可以存储,不要弄成任意读取的,另外辅助keystore加密。
