【每日一记3】+第4天+Android 基本组件(3)

6.  【强制】避免使用隐式 Intent 广播敏感信息，信息可能被其他注册了对应
BroadcastReceiver 的App 接收。
说明：
通过Context#sendBroadcast()发送的隐式广播会被所有感兴趣的 receiver接收，恶
意应用注册监听该广播的 receiver 可能会获取到 Intent 中传递的敏感信息，并进行
其他危险操作。如果发送的广播为使用 Context#sendOrderedBroadcast()方法发送
的有序广播，优先级较高的恶意 receiver 可能直接丢弃该广播，造成服务不可用，
或者向广播结果塞入恶意数据。
如果广播仅限于应用内，则可以使用 LocalBroadcastManager#sendBroadcast()实
现，避免敏感信息外泄和 Intent 拦截的风险。
正例：
Intent intent = new Intent("my-sensitive-event");
intent.putExtra("event", "this is a test event");
LocalBroadcastManager.getInstance(this).sendBroadcast(intent);
反例：
Intent intent = new Intent();
v1.setAction("com.sample.action.server_running");
v1.putExtra("local_ip", v0.h);
v1.putExtra("port", v0.i);
v1.putExtra("code", v0.g);
v1.putExtra("connected", v0.s);
v1.putExtra("pwd_predefined", v0.r);
if (!TextUtils.isEmpty(v0.t)) {
   v1.putExtra("connected_usr", v0.t);
}
context.sendBroadcast(v1);
以上广播可能被其他应用的如下 receiver 接收导致敏感信息泄漏
final class MyReceiver extends BroadcastReceiver {
      public final void onReceive(Context context, Intent intent) {
            if (intent != null && intent.getAction() != null) {
                  String s = intent.getAction();
                  if (s.equals("com.sample.action.server_running") {
                      String ip = intent.getStringExtra("local_ip");
                      String pwd = intent.getStringExtra("code");
                      String port = intent.getIntExtra("port", 8888);
                      boolean status = intent.getBooleanExtra("connected", false);
                  }
            }
      }
}

感谢分享