Flutter 的 TextField 相信大家都很熟悉，作為輸入控件 TextField 經(jīng)常出現(xiàn)在需要登錄的場景奏候，例如在需要輸入密碼的 TextField 上配置 obscureText: true 岩瘦，這時候就會如下圖所示未巫，輸入框呈現(xiàn)加密顯示的狀態(tài)。

而在登錄成功之后担钮，登錄頁面一般都會隨之被銷毀橱赠，連帶著用戶的賬號和密碼數(shù)據(jù)也應(yīng)該會被回收，但是事實(shí)上有被回收嗎箫津？

一狭姨、CWE-316

事實(shí)上如果你使用 TextField 作用密碼輸入框宰啦，這時候你很可能會在安全合規(guī)中遇到類似 CWE-316 的警告，主要原因在于：Flutter 在進(jìn)行文本輸入時饼拍，和原生平臺通信過程中赡模，會有明文的文本內(nèi)容殘留。

復(fù)現(xiàn)這個問題很簡單师抄，首先我們需要一個能夠讀取 App 運(yùn)行時內(nèi)存數(shù)據(jù)的工具漓柑，這里推薦使用 apk-medit ，具體使用流程為：

• 下載 apk-medit 的壓縮包叨吮，解壓得到 medit 可執(zhí)行文件辆布；
• usb 調(diào)試鏈接上手機(jī)，無需 root 茶鉴，執(zhí)行 adb push medit /data/local/tmp/medit 將可執(zhí)行文件傳輸?shù)绞謾C(jī)上锋玲；
• 執(zhí)行 adb shell 進(jìn)入手機(jī)命令后模式；
• 執(zhí)行 run-as <target-package-name> 涵叮，其中 target-package-name 就是你的包名惭蹂；
• 執(zhí)行 cp /data/local/tmp/medit ./medit 拷貝可執(zhí)行文件；
• 執(zhí)行 ./medit 進(jìn)入內(nèi)存檢索模式割粮；

成功之后可以看到如下圖所示盾碗，進(jìn)入到了待命的狀態(tài)：

這時候我們在密碼輸入框輸入 abcd12345 ，然后在終端 find abcd12345 可以看到在 String 類別下找到 7 個相關(guān)的內(nèi)存數(shù)據(jù)舀瓢。

之后我們通過 TextField 的 controller 清空輸入文本廷雅，銷毀當(dāng)前頁面，跳轉(zhuǎn)到空白頁面下后京髓，同時在 Flutter devTool 上主動點(diǎn)擊 GC 清理數(shù)據(jù)榜轿，最后再回到終端執(zhí)行 find abcd12345 ，結(jié)果如下圖所以：

可以看到這時候還有 5 個相關(guān)數(shù)據(jù)存在內(nèi)存朵锣，這里挑選一個地址，如 0x7194a57b 執(zhí)行 dump 命令： dump 0x7194a500 0x7194a5ff 甸私，結(jié)果如下圖所示诚些，可以看到此時的密碼是以 map 格式存在，并且長時間都不會被回收或者銷毀皇型。

這個問題目前在 Android诬烹、iOS、Linux 等平臺都普遍存在弃鸦，那這個問題是從哪里來的绞吁？ 這就需要聊到 Flutter 里的文本輸入實(shí)現(xiàn)流程。

二唬格、文本輸入流程

Flutter 作為跨平臺框架家破，它的文本內(nèi)容輸入主要是依賴平臺的通道實(shí)現(xiàn)颜说，例如在 Android 上就是通過 InputConnection 相關(guān)的體系去實(shí)現(xiàn)。

在 Android 上汰聋，當(dāng)輸入法要和某些 View 進(jìn)行交互時门粪，系統(tǒng)會通過View 的 onCreateInputConnection 方法返回一個 InputConnection 實(shí)例給輸入法用于交互通信，開發(fā)者可以通過 override InputConnection 上的一些方法來進(jìn)行攔截某些輸入或者響應(yīng)某些 key 邏輯等操作烹困，例如：

Android SDK 里提供的 EditText 控件之所以支持文本輸入玄妈，也是因為它繼承的父類 TextView 實(shí)現(xiàn)了對應(yīng)的 EditableInputConnection ，并復(fù)寫了View 的 onCreateInputConnection 方法髓梅。

在 Flutter 上拟蜻，FlutterView 同樣 override 了 onCreateInputConnection 方法，并實(shí)現(xiàn)了 InputConnectionAdaptor 作為交互 枯饿，這里先簡單介紹一些后面用到的對象：

• InputConnectionAdaptor ： InputConnection 的實(shí)現(xiàn)酝锅，用于輸入法和 Flutter 之間的通信交互，內(nèi)部持有： TextInputChannel 鸭你、 ListenableEditingState 屈张、InputMethodManager 、KeyboardManager 等對象袱巨；
• TextInputChannel ： MethodChannel 的封裝對象阁谆， 主要和 Dart 進(jìn)行交互通信，并實(shí)現(xiàn)一些邏輯愉老；
• InputMethodManager ：Android 系統(tǒng)的鍵盤管理對象场绿，例如通過它顯示/隱藏鍵盤，或者配置一些鍵盤特性嫉入；
• ListenableEditingState：用于保存當(dāng)前編輯狀態(tài)焰盗，如文本內(nèi)容、選擇范圍等等咒林，因為 InputConnection 會需要一個 Editable 接口熬拒，而它就是 Editable 接口的子類，Andorid framework 里鍵盤輸入的內(nèi)容和狀態(tài)會通過 Editable 接口進(jìn)行操作垫竞；
• TextInputPlugin ： 它的作用類似于 FlutterPlugin 的作用澎粟，持有 TextInputChannel 和 InputMethodManager 實(shí)現(xiàn)一些輸入相關(guān)邏輯，同時本身也實(shí)現(xiàn)了 ListenableEditingState.EditingStateWatcher 接口欢瞪，該接口當(dāng)有文本輸入時會被調(diào)用活烙；

簡單介紹完這些對象的作用，我們回到文本輸入的流程上遣鼓，當(dāng)用鍵盤輸入完內(nèi)容時啸盏，文本輸入內(nèi)容會進(jìn)入到 InputConnectionAdaptor 的 endBatchEdit ，然后如下圖所示：

• 鍵盤輸入的內(nèi)容會保存在 ListenableEditingState 里（源碼里的 mEditable 參數(shù)）;
• 之后會通知到 TextInputPlugin 去格式化數(shù)據(jù)并傳入 TextInputChannel ;
• 接著通過 TextInputChannel 把數(shù)據(jù)封裝在 Map 格式骑祟，然后通過 invoke 到 TextInputClient.updateEditingState 的 dart 方法上回懦；
• Dart 層面接收到 Map 內(nèi)容之后气笙，將輸入內(nèi)容更新到 TextEditingValue 上，從而渲染出輸入的文本粉怕；

可以看到健民，整個流程主要是：通過 InputConnectionAdaptor 和輸入法交互之后得到輸入內(nèi)容和狀態(tài)，然后將數(shù)據(jù)封裝為 Map 傳給 Dart 層贫贝，Dart 層解析顯示內(nèi)容秉犹。

那回到上面的 CWE-316 的問題，可以看到此時內(nèi)存留殘留的明文密碼正是 TextInputClient.updateEditingState 稚晚，也就是原生平臺傳給 Dart 層的 Map 數(shù)據(jù)崇堵，這部分?jǐn)?shù)據(jù)在傳遞之后沒有被回收，導(dǎo)致殘留在內(nèi)容客燕，出現(xiàn)泄漏鸳劳。

事實(shí)上關(guān)于改問題，在 Flutter 的 #84708 issues 上有過討論也搓，雖然官方將其定義為 P3 的狀態(tài)赏廓，但是從回復(fù)上可以看到，意思大概是： CWE-316 問題看起來更多是被誤導(dǎo)傍妒，因為如果第三方可以隨意訪問到你的設(shè)備數(shù)據(jù)幔摸，那其實(shí)無論用什么方式都很難避免所謂的泄漏。

另外從目前的 Dart 設(shè)計上看颤练， Dart String 對象是不可變的既忆，一旦明文 String 進(jìn)入 Dart heap，就無法確保它何時會被清理嗦玖，而且即使在 String 被 GC 之后患雇，它曾經(jīng)占用的內(nèi)存也將保持不變，直到整個區(qū)域被清空并交還給操作系統(tǒng)宇挫，或在該地址分配了一個新對象苛吱，這時候才可能會被完全清除。

另外這里額外補(bǔ)充兩個 InputConnectionAdaptor 的知識點(diǎn)：performEditorAction 和 sendKeyEvent 器瘪。

• performEditorAction : 當(dāng)輸入法上一些特別的 Key 如 IME_ACTION_GO又谋、IME_ACTION_SEND 娱局、 IME_ACTION_DONE 這些 Key 被觸發(fā)是時，會直接通過 TextInputChannel 將 code 發(fā)送到 Dart 咧七；
• sendKeyEvent ： 當(dāng)某些特殊按鍵輸入時會被回調(diào)衰齐，例如點(diǎn)擊退格鍵時，但是這個取決于輸入的不同继阻，例如小米安全鍵盤輸入法的退格鍵就不會觸發(fā)耻涛，但是小米安全鍵盤輸入法的數(shù)字 key 就會觸發(fā)該回調(diào)废酷；

三、最后

所以就目前版本的情況來看抹缕，只要是使用了 TextField 澈蟆，或者說 EditableText ，那么傳輸過程的 Map 殘留問題可能會一直存在卓研。

當(dāng)然趴俘，如果你只是使用 String 而不是使用 EditableText ，那么 Dart 上類似 typed data 或者 ffi pointers 的能力奏赘，一定程度可以解決此類的問題寥闪。

如果針對 TextField 的 CWE-316 你還有什么想法，歡迎留言討論交流～