收藏
回答

当前提审小程序包中可能包含明文的AppSecret,存在泄漏的安全风险?

AppID
wxea0ee367c7892adc

代码中并未包含AppSecret,接口中的app_secret不是微信的app_secret,是我们请求中不可缺少的加密字段,同时还有token不参与网络传输,现在这个app_secret相当于密码,缺少我们系统的接口就会调用失败,此app_secret不会获取到小程序敏感数据,麻烦予以通过。

回答关注问题邀请回答
收藏

3 个回答

  • 邓不邓💨
    邓不邓💨
    2022-03-02

    你好,经核实,当前提审小程序包中可能包含明文的AppSecret,存在泄漏的安全风险。一旦被恶意用户通过技术手段获取你的AppSecret,对方可以通过调用API获取你的小程序敏感数据,如接口调用凭证、用户信息、用户使用数据、小程序码等。出于安全考虑,开发者应将AppSecret保存 到后台服务器中,并严格保密,不向任何第三方等透露。建议你立即调整技术方案,去除小程序包中的AppSecret字样并重置可能已泄漏的AppSecret,消除风险

    2022-03-02
    有用
    回复 1
    • 🌊
      🌊
      2022-03-03
      此app_secret为后台返回,并没有保留在前端,且此app_secret并非微信AppSecret,是我们后台接口验证身份的加密信息之一。
      2022-03-03
      回复
  • 传康Kk
    传康Kk
    2023-02-07

    如何解决啊

    2023-02-07
    有用
    回复
  • 🌊
    🌊
    2022-03-08

    已解决了。是明文secret的问题

    2022-03-08
    有用
    回复 2
登录 后发表内容