云打包的apk在安全测评报告中提示以下问题:
- 2.6.11.未配置网络安全属性风险
检测目的
检测应用中是否存在未配置网络安全属性风险
风险等级
中
风险描述
从Nougat(Android 7)一个名为“Network Security Configuration”的新安全功能也随之而来。如果应用程序的SDK高于或等于24,则只有系统证书才会被信任。Android Network Security Configuration功能提供了一个简单的层,用来保护应用程序在未加密的明文中意外传输的敏感数据。可以针对特定域和特定应用配置这些设置。如缺少networkSecurityConfig特性,应用程序将使用系统默认安全配置,致使应用程序在不安全的定制ROM上运行时可能遭受恶意网络攻击。
检测步骤
1.反编译APK文件
2.解析解析AndroidManifest.xml文件,判断是否设置了android:networkSecurityConfig属性,如果该属性未被设置,则存在风险,否则为安全。
检测结果
发现风险(1处)
结果描述
该应用未配置网络安全属性
检测详情
-
[文件]:
AndroidManifest.xml
解决方案
开发者自查:
根据业务场景正确配置android:networkSecurityConfig属性。
1 个回复
1***@qq.com (作者)
https://uniapp.dcloud.net.cn/tutorial/app-nativeresource-android.html#
HBuilderX3.6.0起,支持直接在应用项目中配置应用清单文件 AndroidManifest.xml 和资源目录 assets、res
但是注意:文档上提到的是清单文件根节点必须配置 package 属性,且属性值不能为空,属性值建议使用云端打包时配置的Android包名;但是实际打包如果和包名相同会打包失败,需要不同的包名;