技能 Mobile Security Coder
📦
Mobile Security Coder
安全
在專家指導下實現安全的移動應用程式
移動開發人員難以應對平台特定的安全漏洞和複雜的保護模式。此技能提供經過實戰驗證的移動安全實現方案,適用於 iOS、Android 和跨平台應用程式。
支援: Claude Codex Code(CC)
1
下載技能 ZIP
2
在 Claude 中上傳
前往 設定 → 功能 → 技能 → 上傳技能
3
開啟並開始使用
測試它
正在使用「Mobile Security Coder」。 為加載第三方內容配置安全 WebView
預期結果:
- 啟用僅 HTTPS URL 加載,並實施域名白名單驗證
- 預設禁用 JavaScript,僅為可信域名啟用並設置特定功能限制
- 實施內容安全策略,配置嚴格的 script-src 指令
- 配置 Cookie 隔離並防止第三方 Cookie 訪問
- 對不受信任的內容禁用文件訪問和本地存儲
- 設置自定義用戶代理以防止指紋識別並強制執行安全策略
正在使用「Mobile Security Coder」。 為移動應用實現安全憑證存儲
預期結果:
- 使用 iOS Keychain 並配置 kSecAttrAccessibleWhenUnlocked 以實現生物識別保護的密鑰存儲
- 使用 Android Keystore 並搭配 StrongBox 或 TEE 支持的密鑰生成
- 使用 PBKDF2 或 Argon2 配合設備特定的鹽值派生加密密鑰
- 使用適當的文件保護標識將敏感文件排除在雲端備份之外
- 在使用後使用安全內存清除技術從內存中清除敏感數據
- 為長期存儲的憑證實施密鑰輪換和重新加密
安全審計
安全v1 • 2/25/2026
Prompt-only skill with no executable code. Static analysis found zero security issues (risk score 0/100). Content provides legitimate mobile security guidance aligned with OWASP MASVS standards. No code execution, network access, or filesystem operations present.
0
已掃描檔案
0
分析行數
0
發現項
1
審計總數
未發現安全問題
審計者: claude
品質評分
38
架構
100
可維護性
87
內容
50
社群
100
安全
74
規範符合性
你能建構什麼
安全 WebView 實現
配置 WebView 時啟用 URL 白名單、JavaScript 控制、內容安全策略和安全 Cookie 處理,以防止注入攻擊和數據洩漏
生物識別認證設置
實現 Touch ID、Face ID 或指紋認證,配備安全備用機制和受生物識別保護的憑證存儲
跨平台安全配置
為 React Native 橋接通訊、Flutter 平台通道和 Xamarin 原生互操作應用安全模式,並實施輸入驗證
試試這些提示
基礎 WebView 安全
請幫我為 iOS 應用程式配置安全的 WebView。我需要僅加載可信的 HTTPS URL 並防止 JavaScript 注入攻擊。我應該啟用哪些基本安全設置?
生物識別認證實現
我需要為 Android 應用添加指紋認證功能,並配備 PIN 碼作為安全備用選項。請指導我使用 Android Keystore 系統實現生物識別認證,包括適當的錯誤處理和安全考量。
安全 API 通訊
我的 React Native 應用與處理敏感用戶數據的 REST API 通訊。請幫助我實施證書綁定、安全令牌存儲以及防範中間人攻擊的措施。請提供 iOS 和 Android 兩端的程式碼範例。
綜合移動安全審計
請審查我的移動應用程式架構是否存在安全漏洞。該應用使用 React Native 搭配原生模組、在本地存儲用戶憑證,並與多個後端服務通訊。請提供威脅模型、識別潛在攻擊向量,並為每一層(包括數據存儲、網路通訊、認證和程式碼保護)推薦具體的安全控制措施。
最佳實務
- 強制僅使用 HTTPS 通訊並實施證書綁定以防止中間人攻擊
- 將憑證存儲在平台特定的安全存儲(Keychain、Keystore)中,並使用生物識別保護
- 驗證並清理所有外部輸入,包括深度鏈接、推送通知和傳感器數據
避免
- 將敏感數據存儲在 UserDefaults、SharedPreferences 或未加密的文件中
- 在生產環境中禁用 SSL 證書驗證或接受所有證書
- 將令牌、憑證或個人數據等敏感信息記錄到控制台
常見問題
此技能與 security-auditor 有何區別?
此技能專注於實際的移動安全編碼和安全模式的實現。Security-auditor 則專注於高層次的的安全評估、合規審查和威脅建模。如需編寫安全移動程式碼請使用此技能,如需評估現有安全狀況請使用 security-auditor。
此技能是否同時支援 iOS 和 Android 開發?
是的,此技能涵蓋 iOS 和 Android 的平台特定安全功能,以及跨平台框架(包括 React Native、Flutter、Xamarin 和 Cordova)。它針對每個平台的安全模型提供相應的實現指導。
此技能能否協助實現 OWASP MASVS 合規?
是的,此技能與 OWASP 移動應用程式安全驗證標準(MASVS)指南保持一致。它可以幫助實施數據存儲、加密、認證、網路通訊和程式碼保護要求的控制措施。
此技能是否提供實際的安全測試或程式碼執行?
不,此技能仅提供實現指導和安全建議。它不會執行程式碼、進行滲透測試或執行自動化安全掃描。所有建議都需要開發人員實施和驗證。
此技能支援哪些移動認證方法?
此技能支援生物識別認證(Touch ID、Face ID、指紋識別)、使用 TOTP 的多因素認證、適用於移動流程並使用 PKCE 的 OAuth、JWT 令牌處理,以及包含前/後台切換和安全令牌刷新的會話管理。
此技能如何處理 WebView 安全問題?
此技能提供全面的 WebView 安全指導,包括 URL 白名單、JavaScript 控制、內容安全策略實施、安全 Cookie 處理、文件訪問限制以及定期緩存清理,以防止注入攻擊和數據洩漏。