分析支付宝客户端的插件机制(续)2013-06-25  昨天的文章内容只是摘要,需要点原文链接查看所有内容,但是我忘记增加原文链接了,抱歉。这次加上重新发一次。再加一些反馈。 先介绍一下该插件机制,如上图所示,支付宝客户端在安装后,对于像“彩票”、“爱心捐赠”这类功能,需要再点击安装一次,然后才可以使用。有些时候该插件功能进行了升级,需要点击升级才可以继续使用。插件的方式有利于软件动态增加新的功能或升级功能,而不用再一次向AppStore提交审核。另外,由于用户不需要的插件可以不用安装,也缩小了应用本身的体积大小,节省了下载流量。 点击“阅读原文”,查看文章详细内容。 反馈 1. 微博上有同学说,插件只有这种方式,潜台词应该是说,我在说费话。其实插件应该还有很多种可以想象的实现方式,例如lua(wax),phoneGap, 或者自已实现的一个类似phoneGap的纯原生界面插件,都是可能的。 2. 有支付宝的同学在微博上说,他们的插件方式不止这一种。嗯,进一步印证了上一条。 3. 有同学在微信中回复,提供了一种方法可以注入js到微信客户端中,进而进一步调试js逻辑。但此方法需要手机越狱。首先我的手机是没有越狱的,我也极不鼓励越狱,由此方法可以想到越狱手机有多不安全。对于越狱手机,一个恶意程序可以直接把支付宝内部的插件逻辑替换掉,从而干一些坏事。 4. 由上面一条还可以看出,插件机制还有一个缺点,就是代码逻辑暴露。 |
|
|
