android:exported
透過集合功能整理內容
你可以依據偏好儲存及分類內容。
OWASP 類別:MASVS-PLATFORM:平台互動
總覽
android:exported
屬性可設定活動、服務、廣播接收器等元件能否由其他應用程式的元件啟動:
- 如果設為
true
,任何應用程式皆可存取活動,並以確切的類別名稱啟動活動。
- 如果設為
false
,則只有同一個應用程式的元件、具有相同使用者 ID 的應用程式,或具備特殊權限的系統元件,才能啟動活動。
這個屬性預設值背後的邏輯經過了演變,會因元件類型和 Android 版本而異。舉例來說,在 API 級別 16 (Android 4.1.1) 以下版本中,<provider>
元素會預設為 true
。如未明確設定這個屬性,可能會導致某些裝置採用不同的預設值。
影響
如果預設值不同,可能會不小心公開應用程式內部元件。以下列舉幾個可能的後果:
發生阻斷服務攻擊。其他應用程式不當存取內部元件,修改應用程式內部功能。機密資料外洩。在有安全漏洞的應用程式中執行程式碼。
因應措施
請一律明確設定 android:exported
屬性。這樣一來,就不會留下任何解釋空間,且能針對元件的瀏覽權限明確指出您的意圖。
為您推薦
這個頁面中的內容和程式碼範例均受《內容授權》中的授權所規範。Java 與 OpenJDK 是 Oracle 和/或其關係企業的商標或註冊商標。
上次更新時間:2024-01-05 (世界標準時間)。
[{
"type": "thumb-down",
"id": "missingTheInformationINeed",
"label":"缺少我需要的資訊"
},{
"type": "thumb-down",
"id": "tooComplicatedTooManySteps",
"label":"過於複雜/步驟過多"
},{
"type": "thumb-down",
"id": "outOfDate",
"label":"過時"
},{
"type": "thumb-down",
"id": "translationIssue",
"label":"翻譯問題"
},{
"type": "thumb-down",
"id": "samplesCodeIssue",
"label":"示例/程式碼問題"
},{
"type": "thumb-down",
"id": "otherDown",
"label":"其他"
}]
[{
"type": "thumb-up",
"id": "easyToUnderstand",
"label":"容易理解"
},{
"type": "thumb-up",
"id": "solvedMyProblem",
"label":"確實解決了我的問題"
},{
"type": "thumb-up",
"id": "otherUp",
"label":"其他"
}]
{"lastModified": "\u4e0a\u6b21\u66f4\u65b0\u6642\u9593\uff1a2024-01-05 (\u4e16\u754c\u6a19\u6e96\u6642\u9593)\u3002"}
[[["容易理解","easyToUnderstand","thumb-up"],["確實解決了我的問題","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["缺少我需要的資訊","missingTheInformationINeed","thumb-down"],["過於複雜/步驟過多","tooComplicatedTooManySteps","thumb-down"],["過時","outOfDate","thumb-down"],["翻譯問題","translationIssue","thumb-down"],["示例/程式碼問題","samplesCodeIssue","thumb-down"],["其他","otherDown","thumb-down"]],["上次更新時間:2024-01-05 (世界標準時間)。"]]