uniapp开发微信小程序:提交审核不通过,提示AppSecret存在泄漏的安全风险。解决思路。_代码中不应存在appsecret敏感信息

于 2024-08-26 21:54:17 发布
阅读量706 收藏 19
点赞数 18
文章标签: uni-app 微信小程序 安全 运维 ssl 计算机网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzz6583zz/article/details/141574473
版权

如题:微信小程序审核不通过,提示AppSecret存在泄漏的安全风险

一、官方反馈信息:

审核失败原因:
你好,当前提审小程序包中可能包含明文的AppSecret,存在泄漏的安全风险。一旦被恶意用户通过技术手段获取你的AppSecret,对方可以通过调用API获取你的小程序敏感数据,如接口调用凭证、用户信息、用户使用数据、小程序码等。出于安全考虑,开发者应将AppSecret保存
到后台服务器中,并严格保密,不向任何第三方等透露。建议你立即调整技术方案,去除小程序包中的AppSecret字样并重置可能已泄漏的AppSecret,消除风险。

二、处理方式:

在微信开发者工具中,将写好的代码按如下步骤操作:
1、上传
2、上传编译后查看代码质量
3、看到敏感信息,点击查看会跳转到相关文件,如5
6、在5中找到appsecret,该处存在泄露风险
7、找到所属位置(如图:MP-WEIXIN),具体就是
uniapp\unpackage\dist\dev\mp-weixin\app.json(实际按钮你的文件提示来)
![![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/ae6910fd1b3d45f6b61b0726fe84f991.jpeg](https://img-
blog.csdnimg.cn/direct/f5d36e47bef349118c10fff22098a1a1.png)

8、在manifest.json找到相关mp-weixin的配置,可能不只一个,去掉appsecret的内容
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/9e5829dd80594756b9b6d7e2b962865d.png)
9、重新运行,并到微信开发者工具上传,再重复前面的操作,直到代码质量的敏感信息通过

三、总结

该文章只提供一个排查思路,请按照你所操作后得到的提示的去处理

最后

从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。

因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。

干货主要有:

①1000+CTF历届题库(主流和经典的应该都有了)

②CTF技术文档(最全中文版)

③项目源码(四五十个有趣且经典的练手项目及源码)

④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)

⑤ 网络安全学习路线图(告别不入流的学习)

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2023密码学/隐身术/PWN技术手册大全

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

扫码领取

程序员鱼
关注
uniapp微信小程序mqtt可用完整代码示例-解决整机调试网络不通问题
04-26
标题中的“uniapp微信小程序mqtt可用完整代码示例”表明这是一个关于使用uniapp框架将应用转换为微信小程序,并且实现了MQTT(Message Queuing Telemetry Transport)通信功能的项目。MQTT是一种轻量级的发布/订阅...
uniapp开发微信小程序解决上线:审核问题“包含明文的AppSecret,存在泄漏安全风险“以及上线之后接口请求失败
前端菜鸟好先森的博客
02-21 2106
uniapp开发微信小程序解决上线:审核问题“包含明文的AppSecret,存在泄漏安全风险“以及上线之后接口请求失败
uniapp开发微信小程序提交审核不通过,提示AppSecret存在泄漏安全风险解决思路
ew45218的博客
01-22 1537
微信小程序审核不通过,提示AppSecret存在泄漏安全风险
uniapp 自定义组件建议移动到子包发布微信小程序失败
最新发布
leiliang520130的专栏
07-30 651
尽管这只是建议,但你可以尝试将 `components/order-goods/order-goods` 移动到子包 `bundle` 内,看看是否能解决问题。- **项目配置问题**:检查项目的 `project.config.json` 文件,确保配置正确。- **网络问题**:检查你的网络连接,确保你能正常访问微信开发者工具的服务器。- **微信开发者工具版本问题**:确保你使用的是最新版本的微信开发者工具。- **权限问题**:确保你有足够的权限发布该项目,特别是在多开发者协作时。
微信小程序代码中不应存在 AppSecret 敏感信息
ㅤㅤㅤㅤ
07-19 1514
解决方案:根据检测的机制 开发者工具是明确的知道你得AppSecret是多少,只要在代码中出现匹配的字符就会报敏感信息,可以用以下方式来避免。当然这种方式也不推荐,最好还是在服务端完成业务上的这块逻辑(对于安全方面,如果能补获到你的源码,根据取值方式照样能获取到你的AppSecret)。场景:可能有些业务需要使用第三方sdk,三方sdk需要提供AppSecret,这样就避免不了代码中会出现这个敏感信息。针对微信小程序代码质量检测AppSecret的解决方案。如果想复杂一些,可以考虑多个字段分开拼接。
uniapp中使用微信登录app
热门推荐
weixin_40305713的博客
03-23 1万+
之前经手的一个uniapp开发app剩下一个微信登录的功能,之前没有独立搞过这一块,在网上查了很多资料已解决。记录一下实现的步骤,方便下一次copy。 一、首先在Hbuilder中配置微信授权登录 App模块配置中勾选OAuth -->微信登录 :填写appid和appsecret 二、获取appid和appsecret 1、appid和appsecret是在微信开放平台中获取的。首先需要去微信开放平台注册账号,创建移动应用(下图) 2、 创建移动应用需要填写包名和签名(后续会介绍如
微信开发者之AppID和AppSecret举例子
s_sos0的博客
05-13 4925
微信开发者之AppID和AppSecret 微信开发者之AppID和AppSecret 微信开发者之AppID和AppSecret
使用 uni-app 开发小程序
qq_38778882的博客
09-17 1034
获取 AppID 和 AppSecret 登录小程序的管理后台->左侧开发->开发设置->获取 AppID 和 AppSecret 安装相关工具 微信开发者工具 HBuilderX 创建 uni-app 点击工具栏里的文件 -> 新建 -> 项目 选择 uni-app 类型,输入工程名,选择 uni-ui项目 模板,点击创建 即可成功创建。 项目运行 注意:如果是第一次使用,需要先配置小程序ide的相关路径,才能运行成功。如下图,需在 HBuilderX 运行..
uniapp开发微信小程序-人脸采集功能
05-16
uniapp开发微信小程序-人脸采集功能
微信小程序开发:request请求后台获取不到data解决方法
03-29
微信的request的post请求后台获取不到data(当初这个问题纠结了好久好久),原因是post传递的data是json格式而不是key,value的格式,所以获取不到相应的data就是post请求应为表单模式的data,微信小程序提供的data...
uniapp,微信小程序中使用 MQTT的问题
10-15
开发基于uniapp微信小程序时,集成MQTT通信可能会遇到一些挑战。本文将深入探讨这些问题及其解决方案,以便为开发者提供宝贵的参考。 首先,MQTT(Message Queuing Telemetry Transport)是一种轻量级的发布/...
uniapp 微信小程序小票打印机打印教程(超详细讲解) 完整代码,下载后可直接使用
07-24
在本文中,我们将深入探讨如何使用uniapp框架和微信小程序来实现小票打印机的打印功能。这个教程将提供一个详尽的步骤指南,确保你能够理解并应用到实际项目中。我们将涵盖以下知识点: 1. **uniapp简介**:uniapp...
微信小程序审核问题“包含明文的AppSecret,存在泄漏安全风险
bigbomb369的博客
02-28 2597
微信小程序审核问题“包含明文的AppSecret,存在泄漏安全风险
安全课堂|关于小程序AppSecret密钥泄露漏洞官方
mingyqf的博客
09-24 3448
AppSecret是小程序的唯一凭证密钥,也是获取小程序全局唯一后台接口调用凭证(
微信小程序重置AppSecret 之后需要做的事情
weixin_44383533的博客
02-14 2933
这个类似一个小程序的身份验证如果 身份验证无法通过那么 接下来需要用到access_token的地方也都无法正常使用 所以给你的的2个小时使用来更改这个的。这个时候只需要联系后端同学 将之前设置的appSecret 变量换成你刚刚重置的 最新 的就可以。现在appSecret是密文的如果保存不妥当 需要管理账号用重置。
微信小程序注册流程及APPID,APPSecret获取
weixin_42242910的博客
06-01 4467
的时候小程序账号信息是必填项,因此在注册小程序以后,需要补充小程序的基本信息,如名称、图标、类目等。体验版本:通过微信公众平台发布为体验版本,仅供测试人员使用(不超过15人,需要开发者进行添加对应测试的微信账号)小程序密钥(AppSecret)生成后需自己妥善管理,后续平台不可再次明文查看,忘记秘钥只可重置生成操作。线上版本: 提交微信公众平台的官方审核通过之后,生成正式的二维码,真实用户扫码使用的小程序版本。在完成小程序账号的注册后,需要打开微信公众平台对小程序账号进行一些设置,这是因为小程序在。
uniapp项目打包(安卓apk和微信小程序
夏夜追凉丶的博客
09-11 3131
uniapp项目打包(安卓apk和微信小程序
uniapp开发微信小程序的登录功能实现,需要使用appSecret吗
05-21
是的,要实现微信小程序的登录功能,需要使用微信提供的登录API,并且需要在小程序后台获取到appid和appSecret,其中appSecret是保密信息,需要妥善保管,不要泄露给他人。在使用API时,需要携带appid和appSecret进行校验,以确保安全性。同时,开发者还需要在小程序后台配置好域名白名单,以便小程序可以正常访问后端接口。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值