收藏
回答

小程序auth.code2Session调用GET请求,有appid和appsecret泄露的危险?

如题,虽然一般会设置小程序服务器白名单,即时别人拿到了appid和appsecret也没有用,可是万一呢?

回答关注问题邀请回答
收藏

9 个回答

  • 赞无爱人
    赞无爱人
    发表于移动端
    2022-01-17
    色情低俗内容
    2022-01-17
    有用 1
    回复
  • 路上
    路上
    2021-12-14

    如果HTTP连接使用SSL / TLS,则GET参数也会被加密,但是可以显示在其他位置(例如Web服务器日志),并且浏览器插件以及其他应用程序也可以访问GET参数。 如果没有中间人攻击,那么业务服务器发送到微信服务器通过HTTPS的GET请求中携带的URL参数是会被加密而不易被窃取的。

    2021-12-14
    有用 1
    回复
  • 蜗牛
    蜗牛
    2021-11-27

    考虑觉得有点多余。服务器和腾讯通信,用户如何能够截取?还是说服务器被沦陷了?参数都写在服务器,如果服务器被沦陷了,就不只是这个问题了。

    2021-11-27
    有用 1
    回复
  • 陈晓春
    陈晓春
    2021-10-29

    谁说https下get参数不加密?我想腾讯技术不会这么low吧

    http://www.caojunfei.com/?p=3882

    2021-10-29
    有用 1
    回复
  • 顾真开
    顾真开
    2022-02-05

    可能题主的环境和我们大多数人不一样,他担心的似乎是服务器上留存的日志信息被其他人看到。

    估计他的服务器日志信息可以被开发者以外的其他人轻易获取。所以他并没有担心访问被截获,而是特别担心URL里包含的明文。

    2022-02-05
    有用
    回复
  • 够久就走i
    够久就走i
    2021-12-20

    讲个笑话,有人觉得自己比微信的技术想的还多,你要是厉害就不是在这了,而是在腾讯大楼了

    2021-12-20
    有用
    回复
  • wooorld
    wooorld
    2021-11-08

    说一个笑话:get比post安全

    2021-11-08
    有用
    回复
  • 24K大白羊🐑
    24K大白羊🐑
    2021-08-30

    这个请求是在服务端做的 不是在小程序端

    2021-08-30
    有用
    回复 4
    • 朗朗
      朗朗
      发表于移动端
      2021-08-30
      是的,在服务端,还是同样的风险
      2021-08-30
      回复
    • 24K大白羊🐑
      24K大白羊🐑
      2021-08-30回复朗朗
      你应该这么想 如果这个有风险 那所有的请求都有风险了 对吧,Get能截取 Post一样可以截取。放心用,正常都不会有问题的。
      2021-08-30
      回复
    • 朗朗
      朗朗
      2021-08-30
      post 走body请求体,微信为了安全还强制https保证协议层加密。既然大费周章为了安全这个GET就很不理解。
      2021-08-30
      回复
    • 🇪 🇻 🇦 🇳
      🇪 🇻 🇦 🇳
      2021-11-30回复朗朗
      首先https的做法是普遍做法,而不是针对这个请求才做的;其次这个请求是需要code是换的,而且code只能用一次。服务端对服务端的一次性请求,你真劫持到了,又有什么用?
      2021-11-30
      回复
  • 朗朗
    朗朗
    2021-08-30

    2021-08-30
    有用
    回复 2
    • CherisH
      CherisH
      2021-08-30
      拿到也没用啊,又不能获取什么信息
      2021-08-30
      回复
    • 朗朗
      朗朗
      2021-08-30回复CherisH
      如果没有限制域名、ip白名单,可以冒充开发者做很多事了
      2021-08-30
      回复
登录 后发表内容