小程序的安全设计

于 2024-08-12 08:25:56 发布
阅读量22 收藏
点赞数
分类专栏: 前端安全 文章标签: 小程序 安全 web安全 javascript 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BinParker/article/details/141116988
版权

小程序的安全设计

安全指引 | 微信开放文档 (qq.com)

开发原则与注意事项

本文档整理了部分小程序开发中常见的安全风险和漏洞,用于帮助开发者在开发环节中发现和修复相关漏洞,避免在上线后对业务和数据造成损失。

开发者在开发环节中必须基于以下原则:

  1. 互不信任原则,不要信任用户提交的数据,包括第三方系统提供的数据,必要的数据校验必须放在后台校验。
  2. 最小权限原则,代码、模块等只拥有可以完成任务的最小权限,不赋予不必要的权限。
  3. 禁止明文保存用户敏感数据。
  4. 小程序代码(不包括云函数代码)跟传统 Web 应用的前端代码类似,可被外部获取及进行反混淆,重要业务逻辑应放在后台代码或云函数中进行。
  5. 后台接口调用以及云函数调用,必须进行有效的身份鉴权

接口鉴权

接口鉴权是指后台接口(包括自建后台接口与云函数)在被调用时需要对本次接口调用进行权限校验,否则容易发生越权行为。如商品删除接口,后台在收到请求时应当校验调用者的身份信息(如 openid、 ip 地址、开发者自定义的登录态信息等),只有指定用户才可以通过校验进行删除。

越权通常分为平行越权和垂直

了解本专栏 订阅专栏 解锁全文 超级会员免费看
BinParker
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
如何设计小程序的站内信功能
weixin_44976692的博客
05-26 2万+
设计小程序的站内信功能,需要考虑用户体验、安全性、功能完整性等方面。
小程序容器如何确保小程序安全
m0_72622669的博客
09-14 2526
一套代码,多端运行”,是用人企业和开发者们的共同愿景。用人单位可以节省成本,开发者也可以“偷懒”。而且随着小程序技术生态愈发成熟的今天,这个愿景的述求也越来越强烈。在今天各大互联网平台垄断小程序技术的当下,分享一个,它打破了平台技术垄断,同时,它还提供一个后台,管理系统,统一管理小程序的上架和下架,对开发人员是相当友好便捷了。
微信小程序安全分析及设计
u011964735的博客
10-13 3279
微信小程序应用安全分析及设计 针对微信关于小程序安全设计的分析 针对微信小程序开发配置及部分配置机制分析微信小程序安全设计: AppSecret 管理员生成AppSecret,在与微信后台交互过程中部分接口使用,如 auth.code2Session 获取会话密钥session_key 安全分析 AppSecret维护必须为小程序管理员维护,默认微信侧管理安全 ❗ AppSecret在生成后需要后台应用保存维护,存在泄漏风险,AppSecret后台留存安全性需后台应用考虑。❗ Tips: AppSec
【毕业设计之微信小程序系列】基于APP的微信点餐小程序设计与实现
热门推荐
m0_56073435的博客
06-12 1万+
3.1餐饮平台开发相关技术。
微信小程序安全浅析
XH_jing的博客
11-10 3266
引言 近期微信小程序重磅发布,在互联网界掀起不小的波澜,已有许多公司发布了自己的小程序,涉及不同的行业领域。大家在体验小程序用完即走便利的同时,是否对小程序安全性还存有疑虑。白泽日前对微信小程序进行初步的安全技术分析,在此整理出来抛砖引玉,如有描述不当的地方,欢迎纠正,轻拍。 本文中,大白将从小程序的框架、功能模块安全、账户使用安全方面进行剖析,希望能为各位泽友带来不一样的认知。 一、小程序框架概述 在第一部分小程序框架概述中,将介绍小程序抽象框架、小程序调用框架和小程序初始化流程。下面让大白来逐
微信小程序教学系列(7)- 小程序安全和权限管理
赤兔码
08-22 3299
在开发小程序时,我们要时刻牢记小程序安全性。毕竟,我们可不希望我们的小程序被黑客入侵或者用户的隐私被泄露。所以,让我们一起来了解一下如何保障小程序安全性吧!
健身预约小程序设计与实现
各类程序设计成品、文档、学习资料
05-05 5807
用户可以直接进入到首页查看信息、查看健身课程以及订单管理等模块当中;管理员可以查看预约管理、用户管理等;而且教练也能够查看订单、查看资讯、发布课程等。本文当中针对微信小程序的健身预约系统首先介绍了其研究背景,综合分析国内外在该方面的研究情况,然后对该小程序开发所需相关技术以及环境进行深入分析,针对需求和系统分别展开分析,然后结合相关研究以及个人知识设计出系统,最后主要是对所开发出的系统进行测试。
医院预约小程序/医院预约挂号小程序设计与实现
weixin_47958760的博客
10-15 4444
医院预约开发使系统能够更加方便快捷,同时也促使医院预约变的更加系统化、有序化。系统界面较友好,易于操作。具体在系统设计上,客户端使用微信开发者,后台也使用java技术在动态页面上进行了设计,Mysql数据库,是一个非常优秀的医院预约小程序
5个非常实用的小程序UI设计模板分享
七小嗨少的博客
05-12 5803
在互联网飞速发展的时代,手机逐渐成为工作、学习和生活的必需品。小程序作为一种无需下载和安装即可使用的应用程序,因其快速、方便、强大的功能而受到用户的喜爱。小程序无处不在,随时可用,用完就走。随着需求市场的逐步扩大,许多开发团队也致力于小程序UI设计。为了方便开发团队,本文选择了来自即时设计资源社区的5个精品小程序UI设计模板。让我们看看!
基于PHP后台微信在线买菜小程序系统设计与实现
最新发布
杭州.黄老师
04-30 1万+
基于PHP后台微信在线买菜小程序系统设计与实现毕设源代码,黄菊华老师《Vue.js入门与商城开发实战》《微信小程序商城开发》图书作者,CSDN博客专家,在线教育专家,CSDN钻石讲师;专注大学生毕业设计教育和辅导。所有项目都配有从入门到精通的基础知识视频课程,学习后应对毕业设计答辩。项目配有对应开发文档、开题报告、任务书、PPT、论文模版等项目都录了发布和功能操作演示视频;项目的界面和功能都可以定制,包安装运行!!!如果需要联系我,可以在CSDN网站查询黄菊华老师。
志愿者服务微信小程序设计系统毕业设计(含论文)
02-18
总体设计主要包括小程序功能设计小程序总体结构设计小程序数据结构设计小程序安全设计等;详细设计主要包括志愿者服务微信小程序设计系统数据库访问的实现,主要功能模块的具体实现,模块实现关键代码等。最后...
毕业设计 微信小程序设计 倒班日历
04-08
【微信小程序设计——倒班日历】 微信小程序作为移动端轻量级的应用,因其无需下载、即用即走的特性,近年来在用户中广受欢迎。在众多小程序应用中,“倒班日历”是一个针对特殊工作群体,如医护人员、警察、安保...
资源共享微信小程序 毕业设计大纲
03-14
二、资源共享微信小程序设计与实现 2.1 需求分析与功能设计 小程序需要具备用户管理、资源上传、搜索、下载、评价、分享、收藏和系统设置等功能。这些功能覆盖了资源的生命周期,确保用户能轻松地获取、使用和分享...
微信小程序设计 商城.zip
06-05
微信小程序设计商城是一个热门话题,尤其对于现代电子商务领域而言,它提供了一种便捷的移动购物体验。微信小程序作为腾讯公司推出的一种轻量级应用,无需下载安装即可在微信平台上使用,用户通过扫一扫或搜索即可...
小程序安全验证组件.zip
04-01
本文将深入探讨“小程序安全验证组件”的相关知识点,帮助开发者理解和实施有效的安全策略。 1. **无规则验证码**: 无规则验证码是一种防止自动化程序(如机器人)滥用服务的方法。它通常包含随机生成的文字或...
毕业课程设计-微信小程序源码-合集
01-11
在这个“毕业课程设计-微信小程序源码-合集”中,包含了六个不同主题的小程序示例,分别是交友互动、节日祝福、金融行业、论坛类、旅游行业和美容行业,这为学习微信小程序开发提供了丰富的实践素材。 1. **交友...
小程序支付API设计
02-28
### 小程序支付API设计详解 #### 一、引言 随着移动互联网技术的发展,小程序因其便捷性而受到越来越多用户的青睐。小程序支付作为其核心功能之一,在提高用户体验的同时,也为企业提供了新的商业机会。本文旨在...
毕业设计-视频点播微信小程序
05-14
【标题】:“毕业设计-视频点播微信小程序” 在当今数字化时代,微信小程序因其轻量化、无需下载安装的特点,已经成为移动应用开发的热门选择。本毕业设计项目专注于构建一个视频点播微信小程序,旨在为用户提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

BinParker

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值