View的filterTouchesWhenObscured属性

android:filterTouchesWhenObscured="true" 是 Android 系统中的一个安全特性,用于防止应用界面被 恶意覆盖(Overlay Attack) 时用户误触敏感操作。在您的代码中,这个属性被设置在 退出登录按钮 上,主要出于以下安全考虑:

一、属性的作用

filterTouchesWhenObscured="true" 时:

  • 如果按钮被 其他窗口(如悬浮窗、输入法)部分或完全遮挡 ,系统会 过滤掉触摸事件(用户点击按钮无效)。
  • 这确保用户的操作仅针对 可见的 UI 元素,避免被隐藏在下方的恶意界面 "劫持"。

二、为何在退出登录按钮上使用?

退出登录是一个 敏感操作(涉及用户账户安全),攻击者可能通过以下方式利用:

  1. 恶意悬浮窗覆盖

    • 攻击者通过诱导用户安装恶意应用(如伪装成系统更新),获取 悬浮窗权限
    • 当用户打开您的应用并点击退出按钮时,恶意悬浮窗在按钮上方显示一个 伪造的 "确认弹窗" ,用户点击 "确认" 时,实际触发的是下方真实按钮的退出逻辑。
  2. 输入法覆盖攻击

    • 攻击者利用输入法漏洞,在用户输入密码时,输入法界面覆盖退出按钮,诱导用户误触。

三、安全增强的场景

这个属性在以下场景尤为重要:

  • 金融类应用:转账、支付按钮必须防止被覆盖;
  • 敏感操作:如退出登录、删除账户、修改密码等;
  • 需要用户明确意图的场景:如 "清除所有数据" 的确认按钮。

四、与其他安全措施的配合

  1. 权限管控

    应用应避免不必要的 悬浮窗权限(SYSTEM_ALERT_WINDOW) ,减少被覆盖的风险。

  2. 双重验证

    对于敏感操作,结合二次确认(如弹窗、指纹验证),进一步增强安全性。

  3. 检查窗口层级

    代码中可通过 View.getGlobalVisibleRect() 检测按钮是否被遮挡:

    java

    scss 复制代码
    Rect rect = new Rect();
    logoutButton.getGlobalVisibleRect(rect);
    if (rect.width() < logoutButton.getWidth() || rect.height() < logoutButton.getHeight()) {
        // 按钮被部分遮挡,禁止操作
        logoutButton.setEnabled(false);
    }

五、兼容性与注意事项

  • Android 6.0+ :该属性从 API 23 开始支持,低版本系统可能无效。
  • 视觉反馈:按钮被遮挡时应提供明确提示(如置灰、Toast 提示),避免用户困惑。

总结

在退出登录按钮上设置 filterTouchesWhenObscured="true" 是一种 防御性编程,通过系统机制防止恶意覆盖攻击,保护用户账户安全。这是一个低成本(仅需一行代码)、高收益的安全增强措施,建议在所有敏感操作按钮上使用。

相关推荐
tmacfrank11 分钟前
Android 网络全栈攻略(四)—— TCPIP 协议族与 HTTPS 协议
android·网络·https
fundroid1 小时前
Kotlin 协程:Channel 与 Flow 深度对比及 Channel 使用指南
android·kotlin·协程
草字1 小时前
cocos 打包安卓
android
DeBuggggggg2 小时前
centos 7.6安装mysql8
android
浩浩测试一下3 小时前
渗透信息收集- Web应用漏洞与指纹信息收集以及情报收集
android·前端·安全·web安全·网络安全·安全架构
移动开发者1号4 小时前
深入理解原子类与CAS无锁编程:原理、实战与优化
android·kotlin
陈卓4104 小时前
MySQL-主从复制&分库分表
android·mysql·adb
移动开发者1号4 小时前
深入理解 ThreadLocal:原理、实战与优化指南
android·kotlin
zhangphil4 小时前
Android PNG/JPG图ARGB_8888/RGB_565‌解码形成Bitmap在物理内存占用大小的简单计算
android
厦门德仔5 小时前
【WPF】WPF(样式)
android·java·wpf