提交 fa49e80d 编写于 作者: hbcui1984's avatar hbcui1984

修改 uni安全加固 链接地址

上级 824ee438
......@@ -2,7 +2,7 @@
首先我们需要理解漏洞风险并不代表真实存在安全漏洞,比如[WebView远程代码执行漏洞](#webview_jsinterface),仅在Android4.2及以下版本系统存在,目前HBuilderX发现App最低要求版本Android4.4;比如[Activity、Service、Receiver等组件导出风险](#export),有些功能依赖的组件必须设置为导出,实际上并不存在安全问题。而安全平台会把所有可能存在的漏洞或风险都列出来,很多安全问题都可能是误报或夸大了安全漏洞的隐患。
**因此对于存在漏洞风险问题的基本解决方案是使用`APK加固`,推荐[uni安全加固](https://dev.dcloud.net.cn/uni_modules/uni-trade/pages/account/account?pcd=tcb_app_csdn_serv)其背后支持对接多个加固服务商,包括腾讯云和蚂蚁小程序云**
**因此对于存在漏洞风险问题的基本解决方案是使用`APK加固`,推荐[uni安全加固](/uni-app-security.md)其背后支持对接多个加固服务商,包括腾讯云和蚂蚁小程序云**
如果加固还不能解决问题,或者安全平台要求加固前进行检测,请在[官方论坛ask](https://ask.dcloud.net.cn/explore/)发帖反馈,添加话题为“安全漏洞”、“安全检测”,上传完整安全检测报告及检测的apk文件。
......@@ -175,20 +175,20 @@ StrandHogg之所以独特,是因为它无需进行植根即可启用复杂的
}
}
```
#### 未配置网络安全属性漏洞
**风险描述**
从Nougat(Android 7) 一个名为“Network Security Configuration'的新安全功能也随之而来。如果应用程序的 SDK高于或等于24,则只有系统证书才会被信任。Android Network Security Configuration 功能提供了一个简单的层,用来保护应用程序在未加密的明文中意外传输的敏感数据。可以针对特定域和特定应用配置这些设置。如缺少networkSecurityConfig 特性,应用程序将使用系统默认安全配置,致使应用程序在不安全的定制 ROM 上运行时可能遭受恶意网络攻击。
**修复方案**
+ 根据Android平台[网络安全配置文档](https://developer.android.google.cn/training/articles/security-config?hl=zh-cn)生成`network_security_config.xml`配置文件
+ 通过HBuilderX实现networkSecurityConfig配置!参考[Android原生应用清单文件和资源文档](https://uniapp.dcloud.net.cn/tutorial/app-nativeresource-android.html)
+`network_security_config.xml`文件拷贝到应用资源`nativeResources\android\res\xml`目录下
+ 配置`AndroidManifest.xml`中application节点!添加networkSecurityConfig属性配置。配置参考如下:
```
<application android:networkSecurityConfig="@xml/network_security_config"
... >
...
</application>
```
\ No newline at end of file
#### 未配置网络安全属性漏洞
**风险描述**
从Nougat(Android 7) 一个名为“Network Security Configuration'的新安全功能也随之而来。如果应用程序的 SDK高于或等于24,则只有系统证书才会被信任。Android Network Security Configuration 功能提供了一个简单的层,用来保护应用程序在未加密的明文中意外传输的敏感数据。可以针对特定域和特定应用配置这些设置。如缺少networkSecurityConfig 特性,应用程序将使用系统默认安全配置,致使应用程序在不安全的定制 ROM 上运行时可能遭受恶意网络攻击。
**修复方案**
+ 根据Android平台[网络安全配置文档](https://developer.android.google.cn/training/articles/security-config?hl=zh-cn)生成`network_security_config.xml`配置文件
+ 通过HBuilderX实现networkSecurityConfig配置!参考[Android原生应用清单文件和资源文档](https://uniapp.dcloud.net.cn/tutorial/app-nativeresource-android.html)
+`network_security_config.xml`文件拷贝到应用资源`nativeResources\android\res\xml`目录下
+ 配置`AndroidManifest.xml`中application节点!添加networkSecurityConfig属性配置。配置参考如下:
```
<application android:networkSecurityConfig="@xml/network_security_config"
... >
...
</application>
```
Markdown is supported
0% .
You are about to add 0 people to the discussion. Proceed with caution.
先完成此消息的编辑!
想要评论请 注册