小程序的官方审核可以防钓鱼风险吗以及storage缓存安全策略问题
发布于 5 年前 作者 hfeng 15172 次浏览 来自 问答

要做一个金融类小程序,有几个安全问题麻烦看一下:

  1. 如果有人恶意仿冒小程序,且使用不同的appid,会通过审核发布到市场吗?

  2. session_key是不是只能用于解密微信服务器返回的用户敏感信息?

  3. 小程序的storage缓存机制有相关安全策略吗?如果用户不清,数据就一直在缓存里。怎么保证数据安全?Androidc被ROOT手机或者IOS越狱手机存储内容会被窃取吗?

  4. 小程序的网络请求是不是通过微信APP转发的?


3 回复

  1. 敏感数据肯定不存本地。storage缓存有相关安全策略吗,在网上看到说是以(key, value)形式存储,但是数据保护需要小程序自行做加密处理。

  2. 小程序的网络请求经微信转发,会不会微信平台可以获取到小程序发出的网络请求以及第三方服务器返回小程序的报文?

1、“恶意仿冒”只是你主观上的感受,实际上微信并不知道哪个是仿冒的哪个是正品的。如果你自己可以举证,联系微信官方即可。案例可以参考ofo小黄车仿冒小程序的例子。

2、对。你还想用它干啥?

3、敏感数据为什么要存放在本地?

4、什么叫“通过微信App转发”???

本地存储本质是对 Webview 的 localStorage 做二次封装,需要加解密的话自行业务处理。

所有 wx. 开头的接口都来源于微信 App 本身提供的基础库,实际执行的都是原生代码。

回到顶部