收藏
回答

当前提审小程序包中可能包含明文的AppSecret,存在泄漏的安全风险?

AppID
wx3f1d2de74c1049b9

你好,当前提审小程序包中可能包含明文的AppSecret,存在泄漏的安全风险。一旦被恶意用户通过技术手段获取你的AppSecret,对方可以通过调用API获取你的小程序敏感数据,如接口调用凭证、用户信息、用户使用数据、小程序码等。出于安全考虑,开发者应将AppSecret保存 到后台服务器中,并严格保密,不向任何第三方等透露。建议你立即调整技术方案,去除小程序包中的AppSecret字样并重置可能已泄漏的AppSecret,消除风险。


请问一下这里哪里不符合规范了,

1,小程序中除了jscode2session,这个api,没有使用到“secret”相关的了。

2,我们的token也是我们自己后台中获取的,跟小程序中获取的token不相干,这个有影响吗?

3,如果不是上面的问题,那请问具体审核不通过的原因是什么,贵司官方文档过于简单,完全不明白,具体排除原理和涉及secret的字符串有哪些!请帮助一下,我们方便根据具体规则严格排查


回答关注问题邀请回答
收藏

2 个回答

  • 卡卡
    卡卡
    2021-05-14

    你好,这边核实到你的小程序最新提交代码审核已完成审核,请留意站内信。

    2021-05-14
    有用 1
    回复 2
    • 草莓味的水蜜桃
      草莓味的水蜜桃
      2021-05-18
      我也出现同样的问题,是什么原因呢?
      2021-05-18
      回复
    • 草莓味的水蜜桃
      草莓味的水蜜桃
      2021-05-18
      希望您能帮我解答一下
      2021-05-18
      回复
  • Insist
    Insist
    2022-01-23

    你好,当前提审小程序包中可能包含明文的AppSecret,存在泄漏的安全风险。一旦被恶意用户通过技术手段获取你的AppSecret,对方可以通过调用API获取你的小程序敏感数据,如接口调用凭证、用户信息、用户使用数据、小程序码等。出于安全考虑,开发者应将AppSecret保存 到后台服务器中,并严格保密,不向任何第三方等透露。建议你立即调整技术方案,去除小程序包中的AppSecret字样并重置可能已泄漏的AppSecret,消除风险。

    麻烦问一下,这个问题怎么排查,我的小程序里面也没用到跟AppSecret相关的api,token也是从后台获取,怎么审核就是不给过呢

    2022-01-23
    有用
    回复
登录 后发表内容