提交了多次代码审核,都提示:
代码发布审核未通过,原因如下:
1:小程序功能不符合规则:
(1):你好,当前提审小程序包中可能包含明文的AppSecret,存在泄漏的安全风险。一旦被恶意用户通过技术手段获取你的AppSecret,对方可以通过调用API获取你的小程序敏感数据,如接口调用凭证、用户信息、用户使用数据、小程序码等。出于安全考虑,开发者应将AppSecret保存 到后台服务器中,并严格保密,不向任何第三方等透露。建议你立即调整技术方案,去除小程序包中的AppSecret字样并重置可能已泄漏的AppSecret,消除风险。
但是我们查询了代码并不存在以上未审核原因
麻烦尽快答复并告知解决办法,谢谢。
问题原因:代码中出现关键字,明文展示关键信息,第三方sdk绑定关键词等都有可能引起检测。
解决方案:变量名:AppId、AppSecret等关键词不要出现, 可以修改成其它名称变量。
tips: 最好把这类业务需求放到后端完成,下面这种方式补获到源码获取方式,还是会有风险滴
// 微信小程序appid由18位字符串组成。AppSecret由32位字符串组成。 // 例如: 声明时超出18位字符,使用时进行字符串截取。或者自己组合新的拼接法(两个变量拼接声明、倒序之类的) let WECHAT_APPNO = "12345678910111213141516181920"; WECHAT_APPNO.substring(0, 18);请问这个问题有解决掉的人吗,求方法
开发者你好,经核实你的提审小程序包中确实包含你的或你的合作伙伴小程序的AppSecret,根据安全原则,任何小程序AppSecret都不应存放在前端,建议你和你的合作伙伴可通过关键词定位等方式排查并去除小程序包中的AppSecret字样并重置可能已泄漏的AppSecret,消除风险。
所有文件中搜索了吗,最好是每个js文件每个json文件都看下