View的filterTouchesWhenObscured属性

android:filterTouchesWhenObscured="true" 是 Android 系统中的一个安全特性,用于防止应用界面被 恶意覆盖(Overlay Attack) 时用户误触敏感操作。在您的代码中,这个属性被设置在 退出登录按钮 上,主要出于以下安全考虑:

一、属性的作用

filterTouchesWhenObscured="true" 时:

  • 如果按钮被 其他窗口(如悬浮窗、输入法)部分或完全遮挡 ,系统会 过滤掉触摸事件(用户点击按钮无效)。
  • 这确保用户的操作仅针对 可见的 UI 元素,避免被隐藏在下方的恶意界面 "劫持"。

二、为何在退出登录按钮上使用?

退出登录是一个 敏感操作(涉及用户账户安全),攻击者可能通过以下方式利用:

  1. 恶意悬浮窗覆盖

    • 攻击者通过诱导用户安装恶意应用(如伪装成系统更新),获取 悬浮窗权限
    • 当用户打开您的应用并点击退出按钮时,恶意悬浮窗在按钮上方显示一个 伪造的 "确认弹窗" ,用户点击 "确认" 时,实际触发的是下方真实按钮的退出逻辑。
  2. 输入法覆盖攻击

    • 攻击者利用输入法漏洞,在用户输入密码时,输入法界面覆盖退出按钮,诱导用户误触。

三、安全增强的场景

这个属性在以下场景尤为重要:

  • 金融类应用:转账、支付按钮必须防止被覆盖;
  • 敏感操作:如退出登录、删除账户、修改密码等;
  • 需要用户明确意图的场景:如 "清除所有数据" 的确认按钮。

四、与其他安全措施的配合

  1. 权限管控

    应用应避免不必要的 悬浮窗权限(SYSTEM_ALERT_WINDOW) ,减少被覆盖的风险。

  2. 双重验证

    对于敏感操作,结合二次确认(如弹窗、指纹验证),进一步增强安全性。

  3. 检查窗口层级

    代码中可通过 View.getGlobalVisibleRect() 检测按钮是否被遮挡:

    java

    scss 复制代码
    Rect rect = new Rect();
    logoutButton.getGlobalVisibleRect(rect);
    if (rect.width() < logoutButton.getWidth() || rect.height() < logoutButton.getHeight()) {
        // 按钮被部分遮挡,禁止操作
        logoutButton.setEnabled(false);
    }

五、兼容性与注意事项

  • Android 6.0+ :该属性从 API 23 开始支持,低版本系统可能无效。
  • 视觉反馈:按钮被遮挡时应提供明确提示(如置灰、Toast 提示),避免用户困惑。

总结

在退出登录按钮上设置 filterTouchesWhenObscured="true" 是一种 防御性编程,通过系统机制防止恶意覆盖攻击,保护用户账户安全。这是一个低成本(仅需一行代码)、高收益的安全增强措施,建议在所有敏感操作按钮上使用。

相关推荐
Kapaseker16 小时前
扶我起来,Compose Styles API 进阶
android·kotlin
亘元有量-流量变现16 小时前
内外联动精细化运营:解锁安卓APP推广降本增效新路径
android·用户运营·aso优化·亘元有量·方糖试玩
nVisual16 小时前
nVisual:AI驱动的智能排障,平均响应时间缩短40%
android·人工智能·缓存
阿pin16 小时前
Android随笔-神经系统Handler
android·java·开发语言·handler
机智的张尼玛1 天前
我基于 Kotlin Multiplatform 实现了一套跨平台的弱网离线同步引擎
android·开源·kotlin
安卓修改大师1 天前
安卓修改大师反编译引擎Apktool深度解析:版本选择、参数说明与实战技巧
android
error:(1 天前
【系统与实战双精通】VS Code 调试 ROS2 Python 节点与 Launch 系统指南
android·java·python
黄林晴1 天前
Kuikly 是什么?和KMP有什么关系?
android·前端
帅次1 天前
Android 高级工程师面试:Kotlin 语法基础 近1年高频追问 22 题
android·面试·kotlin·扩展函数·空安全
想你依然心痛2 天前
嵌入式日志系统:分级日志、环形缓冲区与远程输出——运行时调试、非侵入
android·前端·javascript