移动端安全
本话题发布移动端安全相关的问答文章和技术分享,将持续更新,为您推荐了19篇问答,访问即可查看更多精彩内容。
-
1
回答
20浏览
前端如何检测 iOS 越狱设备?
最近在做移动端 H5 应用,产品要求对越狱的 iOS 设备做限制。我在网上查到一些 JS 检测方案,比如检查某些特殊路径是否存在,但试了几个都不太靠谱。 比如这段代码: fetch('/et...
-
1
回答
45浏览
JSBridge调用时如何防止恶意注入攻击?
我在Vue项目里通过JSBridge调用原生功能,但担心有人篡改传参导致安全问题。比如用户在输入框里填了恶意脚本,我直接传给原生会不会出事? 目前我是这样调的: <template> &l...
-
2
回答
51浏览
移动端H5页面如何做代码加固防爬取?
我们团队最近上线了一个活动页,结果第二天就被竞品完整扒走了HTML和JS逻辑。现在想给移动端H5加点防护,但不知道从哪下手。 试过把关键逻辑用eval混淆,但发现Chrome DevTools里还是能...
-
1
回答
60浏览
移动端用 LocalStorage 存用户信息安全吗?
我最近在做一个移动端的 Vue 项目,登录后把用户 token 和一些基本信息存到了 LocalStorage 里,方便页面刷新后还能保持登录状态。但听说 LocalStorage 很容易被 XSS ...
-
1
回答
32浏览
移动端 App 被反编译了怎么办?
我用 React Native 打了个 APK 包,结果被人用 apktool 反编译后直接看到了源码,连接口地址都暴露了,这太危险了吧? 我试过开启 Proguard 混淆,但好像对 JS 代码没用...
-
1
回答
22浏览
移动端反调试怎么在Vue里实现?
我最近在做公司一个H5活动页,担心被人用Chrome DevTools调试扒代码,想加个简单的反调试。网上搜到一些方法,比如检测devtools或者断点,但在Vue项目里不知道怎么优雅地集成进去。 我...
-
1
回答
84浏览
React App 如何防止被二次打包篡改?
最近上线了一个 React 移动端 H5 应用,担心被人抓包后二次打包、注入恶意代码。我试过混淆 JS,但发现别人还是能轻易反编译并修改逻辑。比如下面这段关键的支付跳转逻辑: const handle...
-
2
回答
28浏览
前端怎么在移动端检测设备是否被Root了?
我最近在做一款金融类的H5应用,产品要求对Root过的安卓设备做风险提示。但我查了一圈发现纯前端好像没法直接检测Root?试过用navigator.userAgent判断机型,但根本看不出是否Root...
-
2
回答
44浏览
JSBridge调用时如何防止恶意注入和越权访问?
最近在做混合App开发,用JSBridge让H5调用原生功能,但担心有人通过篡改JS代码来调用不该访问的原生方法。比如用户手动在控制台执行window.NativeBridge.getUserInfo...
-
2
回答
47浏览
移动端 HTML 代码混淆后页面布局错乱怎么办?
我用了一个在线混淆工具处理移动端页面的 HTML,结果页面样式全乱了,元素位置都不对。是不是混淆不该动 HTML 结构啊? 我原本的结构很简单,就一个按钮和一段提示文字,混淆后 class 名被改了,...
-
2
回答
42浏览
移动端 JS 代码混淆后白屏,怎么排查?
我用 Webpack 打包了一个 Vue 移动端项目,加了 TerserPlugin 做混淆压缩,结果上线后部分安卓机直接白屏,本地开发完全正常。已经试过关闭混淆就能跑,但一开混淆就出问题,怀疑是某些...
-
2
回答
63浏览
移动端请求 HTTPS 接口为什么会失败?
我在开发一个移动端 H5 页面,调用后端的 HTTPS 接口时老是失败,控制台报错 net::ERR_CERT_AUTHORITY_INVALID。明明在 PC 浏览器上能正常访问,怎么一到手机上就不...
-
2
回答
52浏览
移动端React输入框的value被键盘劫持篡改怎么办?
在开发React登录页时,密码输入框的value突然被改成奇怪字符,明明设置了受控组件: function Login() { const [password, setPassword] = useS...
-
2
回答
65浏览
移动端HTTPS跳转后子页面显示证书错误怎么办?
我在开发电商小程序时遇到个奇怪的问题,主域名已经配置了HTTPS,但跳转到支付页面时浏览器突然提示NET::ERR_CERT_COMMON_NAME_INVALID。 支付页面是单独的子域名pay.e...
-
2
回答
56浏览
移动端设置HttpOnly和Secure后,JS为何仍能读取Cookie?
为什么移动端设置Cookie的HttpOnly; Secure属性后,JavaScript还能通过document.cookie读取到值?明明应该被阻止才对啊。 我确认服务器响应头有Set-Cooki...
-
2
回答
63浏览
我的反调试代码在真机测试时总被绕过怎么办?
我在开发电商H5页面时想加反调试功能,写了检查navigator.webdriver和debugger事件监听的代码,但用Xposed模块启动APP后还是能正常调试我的JS。尝试过检测USB调试状态:...
-
2
回答
71浏览
如何防止WebView中的JavaScript接口被恶意调用?
我在开发Android混合应用时,通过WebView添加了支付接口,但发现恶意参数能触发接口调用。比如这个暴露的pay接口: // 接口暴露代码 webView.addJavascriptInterf...
-
2
回答
60浏览
iOS越狱检测时为什么在模拟器返回false?
我在开发时用代码检测iOS越狱设备,通过检查/Applications/Cydia.app路径是否存在,但运行在Xcode模拟器里总是返回false,真机测试又没问题。我试过用fs.existsSyn...
-
2
回答
39浏览
React应用被二次打包后如何检测配置被篡改?
我在开发一个React企业应用时遇到了二次打包问题。我们通过环境变量配置后台地址,但发现有人用我们开源的代码二次打包后修改了API地址。尝试在入口文件加签名验证,但对方似乎绕过了校验逻辑... // ...
