看来此问题无解,结贴了,大家混淆下,该干啥干啥。
- 需求的场景描述
获取任何微信小程序源码的漏洞,官方怎么看
此问题年初的时候就有人爆出来过,后来以为修复了,不过目前来看仍然可用……
希望能引起重视,要不然整合生态圈相当脆弱,虽然有侵权保护机制,但这只能保护到品牌,对于开发者来说如果被拿到源码,就成了原创者的血泪史了!
- 希望提供的能力
希望能解决源码泄露的安全问题
如果目前还在不到从根本上解决问题的话,官方对我们开发者有什么好的建议可以临时性地解决此问题?
收藏
回答
置顶官方怎么看?只需两步获取任何微信小程序源码精选热门
纸老虎2018-09-03
| 框架类型 | 问题类型 | 操作系统版本 | 手机型号 | 微信版本 |
|---|---|---|---|---|
| 小程序 | 需求 | ios 10.1.2 | 安卓 | 6.5.3 |
最后一次编辑于 2018-09-06
借题问个问题,大家开发的时候遇到有些接口调用,是怎么保护的?我这边是用一个私钥来计算签名,如果现在小程序源码都能轻松被获取,这个私钥要怎么保证安全?
开发的时候记得一句话:
不信任一切客户端!
所以我一般只放一个服务端临时生成的session信息在客户端,在有业务逻辑交互时凭这一条session信息到服务端做身份验证!
那要怎么校验这个session呢?特别是源码被获取的情况下
服务端依据前端传过来的微信客户端api基本信息生成session3rd,每一个用户一个独立的session3rd,这个session3rd是过段时期自动过期的。
在登陆的生成session3rd的时候就生成了与这个用户匹配的信息(包括敏感信息)在服务器上,校验时只要凭收到的 session3rd取出对应的信息供服务端来用再返回非敏感信息给客户端。就算拿手了session3rd也只能用于拿到源码的这个用户登陆,不会危及别的用户。。
排行榜也就没有意义了
对战也没有意义了
而且可以用极低的成本换皮,相当于为别人开发了