收藏
回答

使用wx.chooseLocation方法时,软件安全测试人员抓包发现请求存在泄露key风险

框架类型 问题类型 API/组件名称 终端类型 微信版本 基础库版本
小程序 Bug wx.chooseLocation 微信iOS客户端 8.0.39 2.33.0

https://developers.weixin.qq.com/miniprogram/dev/api/location/wx.chooseLocation.htmlhttps://developers.weixin.qq.com/miniprogram/dev/api/location/wx.chooseLocation.html

微信小程序使用wx.chooseLocation方法时,会发出如下请求,请求的参数上带着key参数,且复制请求后可放到浏览器上使用,安全测试认为存在泄漏key风险。

https://apis.map.qq.com/ws/place/v1/search?key=xxxxx

回答关注问题邀请回答
收藏

2 个回答

  • App小程序软件开发
    App小程序软件开发
    2023-07-12

    这是微信的接口,key不是你设置的。

    2023-07-12
    有用
    回复 1
    • weeki
      weeki
      2023-07-13
      好的,谢谢
      2023-07-13
      回复
  • 大山
    大山
    2023-07-12

    这个 key 设置白名单。

    2023-07-12
    有用
    回复 6
    • weeki
      weeki
      2023-07-13
      谢谢
      2023-07-13
      回复
    • 曹杰
      曹杰
      2023-07-14
      wx.chooseLocation方法,这个方法在微信管理后台开通,小程序直接就能调用。你截图的是腾讯地图的设置?
      2023-07-14
      回复
    • 大山
      大山
      2023-07-14回复曹杰
      前半句说的没错。截图是腾讯的地图控制台的参数,截图面向的是https://apis.map.qq.com/ws/place/v1/search?key=xxxxx 这个接口key。
      2023-07-14
      回复
    • 曹杰
      曹杰
      2023-07-18
      wx.chooseLocation方法内部调用的就是https://apis.map.qq.com/ws/place/v1/search?key=xxxxx  这个接口,你可以抓包看看。所以wx.chooseLocation方法并没有地方设置白名单
      2023-07-18
      1
      回复
    • 大山
      大山
      2023-07-18回复曹杰
      他这个官方的key,不用管,如果自己有配置需要设置,他这个key自己有处理限制。
      2023-07-18
      回复
    查看更多(1)
登录 后发表内容