小程序源码直接可以被趴出来??????
发布于 6 年前 作者 li21 1246 次浏览 来自 问答

这么屌的吗?直接趴小程序源码,还能玩儿吗?微信不搞一下安全防范?

10 回复

都不用root,装个抓包器就能看到了,验证的东西必须放后端,小程序里也不要放什么secret

前端代码大多数都是可以被拿到的,关键是你的服务端数据

是的 裸奔啊裸奔

前端的东西都是不可信的,包含android,ios,敏感信息都要在服务器端校验

魔筷星选开通

快手小店开通

怕不是要冲个会员,微信后台才能加密,哈哈

个人觉得,服务器端判断访问来路,应该有效,下面是ASP.NET MVC示例,其中XXX是你的AppID

public class CheckRefererAttribute : ActionFilterAttribute
    {
        public override void OnActionExecuting(ActionExecutingContext filterContext)
        {
            string referer = filterContext.HttpContext.Request.ServerVariables["HTTP_REFERER"];
            if (referer == null || referer.IndexOf("https://servicewechat.com/xxx") == -1)
            {
                filterContext.Result = new ContentResult { Content = "非法请求" };
            }
        }
    }

参见相关文档:https://developers.weixin.qq.com/miniprogram/dev/api/api-network.html

网络请求的 referer header 不可设置。其格式固定为 https://servicewechat.com/{appid}/{version}/page-frame.html,其中 {appid} 为小程序的 appid,{version} 为小程序的版本号,版本号为 0 表示为开发版、体验版以及审核版本,版本号为 devtools 表示为开发者工具,其余为正式版本。

没有心悦会员,还想给你保密…

回到顶部