我们的产品已经检测到了恶意攻击行为。

如果没有public key pinning或certificate pinning机制，中间人建立proxy并替换掉https证书后，是能够窃听甚至篡改通信内容的，攻击者拿到有效的token后就能大量发起重放请求，制造DDoS攻击。

非常建议官方能积极考虑提供public key pinning机制，在开发者后台配置域名白名单的同时，可以额外配置sha256 of public key，由小程序运行时的底层机制来确保https证书来自真正服务器，而不是来自中间人的proxy，以杜绝man-in-the-middle攻击。

信任根CA这个机制是远远不够的，无论是ios或android设备，本地的CA列表是可以自由扩展的，中间人可以在自己的设备上新增一个自定义的CA，新增CA之后设备就能信任来自中间人proxy上的证书，只有public key pinning或certificate pinning机制可以解决这个问题。

目前我们信任根CA，跟CA由操作系统维护，一般不会出现问题。