为什么审核不通过呢,可能包含明文的AppSecret?
发布于 7 年前 作者 naxiao 13952 次浏览 来自 官方Issues

你好,当前提审小程序包中可能包含明文的AppSecret,存在泄漏的安全风险。一旦被恶意用户通过技术手段获取你的AppSecret,对方可以通过调用API获取你的小程序敏感数据,如接口调用凭证、用户信息、用户使用数据、小程序码等。出于安全考虑,开发者应将AppSecret保存 到后台服务器中,并严格保密,不向任何第三方等透露。建议你立即调整技术方案,去除小程序包中的AppSecret字样并重置可能已泄漏的AppSecret,消除风险。

全文检索没有发现AppSecret,也没有类似的值,这次提交审核的版本,只是新增跳转了一个第三方小程序,带了个sign参数,只是值跟AppSecret类似而已,不是小程序的AppSecret,也反馈了,但是都驳回了,都是上面这个理由,官方帮忙看看,具体是哪个地方存在问题,谢谢!

1 回复

开发者你好,经核实你的提审小程序包中确实包含你的或你的合作伙伴小程序的AppSecret,根据安全原则,任何小程序AppSecret都不应存放在前端,建议你和你的合作伙伴可通过关键词定位等方式排查并去除小程序包中的AppSecret字样并重置可能已泄漏的AppSecret,消除风险。

回到顶部