你好,当前提审小程序包中可能包含明文的AppSecret,存在泄漏的安全风险。一旦被恶意用户通过技术手段获取你的AppSecret,对方可以通过调用API获取你的小程序敏感数据,如接口调用凭证、用户信息、用户使用数据、小程序码等。出于安全考虑,开发者应将AppSecret保存 到后台服务器中,并严格保密,不向任何第三方等透露。建议你立即调整技术方案,去除小程序包中的AppSecret字样并重置可能已泄漏的AppSecret,消除风险。
请问一下这里哪里不符合规范了,
1,小程序中除了jscode2session,这个api,没有使用到“secret”相关的了。
2,我们的token也是我们自己后台中获取的,跟小程序中获取的token不相干,这个有影响吗?
3,如果不是上面的问题,那请问具体审核不通过的原因是什么,贵司官方文档过于简单,完全不明白,具体排除原理和涉及secret的字符串有哪些!请帮助一下,我们方便根据具体规则严格排查
你好,这边核实到你的小程序最新提交代码审核已完成审核,请留意站内信。
你好,当前提审小程序包中可能包含明文的AppSecret,存在泄漏的安全风险。一旦被恶意用户通过技术手段获取你的AppSecret,对方可以通过调用API获取你的小程序敏感数据,如接口调用凭证、用户信息、用户使用数据、小程序码等。出于安全考虑,开发者应将AppSecret保存 到后台服务器中,并严格保密,不向任何第三方等透露。建议你立即调整技术方案,去除小程序包中的AppSecret字样并重置可能已泄漏的AppSecret,消除风险。
麻烦问一下,这个问题怎么排查,我的小程序里面也没用到跟AppSecret相关的api,token也是从后台获取,怎么审核就是不给过呢