小程序插件开发最大安全隐患
发布于 5 年前 作者 yongyu 19487 次浏览 来自 问答

小程序插件工具上有个重大的安全隐患。

就是每个指令的hostsign的 noncestr、timestamp、signature都一样?

在调试重放攻击时,不知道开发的是否正确,

请小程序开发团队帮忙看下,这种情况下,该如何调试?

另外,还有下面这句话

这个是什么意思,如果appid不同,那么怎么进行安全方面的调试?

也请帮忙解释一下,谢谢!

2 回复

感谢反馈。目前 noncestr 生成时机有 bug ,我们会调整为每10分钟生成一次,之后新版本基础库发送的请求可以通过判断 timestamp 来解决。

后面那个问题,插件在手机上预览时,我们会将插件放在一个特殊的小程序内(即“插件开发助手”),开发时请注意这一点。

好的,谢谢答复。

回到顶部