View的filterTouchesWhenObscured属性

android:filterTouchesWhenObscured="true" 是 Android 系统中的一个安全特性,用于防止应用界面被 恶意覆盖(Overlay Attack) 时用户误触敏感操作。在您的代码中,这个属性被设置在 退出登录按钮 上,主要出于以下安全考虑:

一、属性的作用

filterTouchesWhenObscured="true" 时:

  • 如果按钮被 其他窗口(如悬浮窗、输入法)部分或完全遮挡 ,系统会 过滤掉触摸事件(用户点击按钮无效)。
  • 这确保用户的操作仅针对 可见的 UI 元素,避免被隐藏在下方的恶意界面 "劫持"。

二、为何在退出登录按钮上使用?

退出登录是一个 敏感操作(涉及用户账户安全),攻击者可能通过以下方式利用:

  1. 恶意悬浮窗覆盖

    • 攻击者通过诱导用户安装恶意应用(如伪装成系统更新),获取 悬浮窗权限
    • 当用户打开您的应用并点击退出按钮时,恶意悬浮窗在按钮上方显示一个 伪造的 "确认弹窗" ,用户点击 "确认" 时,实际触发的是下方真实按钮的退出逻辑。
  2. 输入法覆盖攻击

    • 攻击者利用输入法漏洞,在用户输入密码时,输入法界面覆盖退出按钮,诱导用户误触。

三、安全增强的场景

这个属性在以下场景尤为重要:

  • 金融类应用:转账、支付按钮必须防止被覆盖;
  • 敏感操作:如退出登录、删除账户、修改密码等;
  • 需要用户明确意图的场景:如 "清除所有数据" 的确认按钮。

四、与其他安全措施的配合

  1. 权限管控

    应用应避免不必要的 悬浮窗权限(SYSTEM_ALERT_WINDOW) ,减少被覆盖的风险。

  2. 双重验证

    对于敏感操作,结合二次确认(如弹窗、指纹验证),进一步增强安全性。

  3. 检查窗口层级

    代码中可通过 View.getGlobalVisibleRect() 检测按钮是否被遮挡:

    java

    scss 复制代码
    Rect rect = new Rect();
    logoutButton.getGlobalVisibleRect(rect);
    if (rect.width() < logoutButton.getWidth() || rect.height() < logoutButton.getHeight()) {
        // 按钮被部分遮挡,禁止操作
        logoutButton.setEnabled(false);
    }

五、兼容性与注意事项

  • Android 6.0+ :该属性从 API 23 开始支持,低版本系统可能无效。
  • 视觉反馈:按钮被遮挡时应提供明确提示(如置灰、Toast 提示),避免用户困惑。

总结

在退出登录按钮上设置 filterTouchesWhenObscured="true" 是一种 防御性编程,通过系统机制防止恶意覆盖攻击,保护用户账户安全。这是一个低成本(仅需一行代码)、高收益的安全增强措施,建议在所有敏感操作按钮上使用。

相关推荐
安东尼肉店4 小时前
Android compose屏幕适配终极解决方案
android
2501_916007474 小时前
HTTPS 抓包乱码怎么办?原因剖析、排查步骤与实战工具对策(HTTPS 抓包乱码、gzipbrotli、TLS 解密、iOS 抓包)
android·ios·小程序·https·uni-app·iphone·webview
feiyangqingyun5 小时前
基于Qt和FFmpeg的安卓监控模拟器/手机摄像头模拟成onvif和28181设备
android·qt·ffmpeg
用户2018792831679 小时前
ANR之RenderThread不可中断睡眠state=D
android
煤球王子9 小时前
简单学:Android14中的Bluetooth—PBAP下载
android
小趴菜82279 小时前
安卓接入Max广告源
android
齊家治國平天下9 小时前
Android 14 系统 ANR (Application Not Responding) 深度分析与解决指南
android·anr
ZHANG13HAO9 小时前
Android 13.0 Framework 实现应用通知使用权默认开启的技术指南
android
【ql君】qlexcel9 小时前
Android 安卓RIL介绍
android·安卓·ril
写点啥呢9 小时前
android12解决非CarProperty接口深色模式设置后开机无法保持
android·车机·aosp·深色模式·座舱