微信小程序安全需求基线
微信小程序作为一款轻量级的应用,因其有着较强的灵活性,开发成本低,推广裂变快等特点,在很多领域得到广泛的应用。
本文基于小程序在电商领域的应用场景,将常见的安全问题进行分析汇总,整理成安全需求基线,以期不断地完善,然后在更多的业务场景下应用。
01、基础安全
涉及数据敏感,采用私有化部署。
通过负载均衡、内容分发等技术,保障业务高可用。
PS:比较大的图片要进行优化,同时避免出现比较大的图片带有随机参数(jpg?t=xx),一旦引流,所有图片请求回源,将导致带宽跑满现象。
02、重点功能
用户注册授权,添加隐私政策。
文件上传,对上传文件的类型、大小、扩展名等信息进行校验,防止任意文件上传。
用户自定义发布的内容需进行内容审核(例如:文本、图片、视频等),可调用公有云API 检测。
03、业务安全
防越权绕过,对用户权限进行认证。
例如,遍历用户id导致敏感信息泄露,需对用户进行权限验证。
防业务逻辑绕过,防止用户可以直接执行后面的流程,从而绕过某些阶段。
例如:积分兑换的场景,将积分扣减和兑换拆分为两个接口,攻击者可直接执行兑换,不执行积分扣减。
防数据篡改,重要业务数据需后端进行校验。
例如:用户的游戏成绩直接篡改可用于游戏作弊,需增加签名认证,防止数据被篡改。
防条件竞争绕过限制。
例如:在做积分抽奖时,应考虑如何应对高并发攻击。
04、敏感信息保护
OpenID、unionid作为微信用户的唯一身份标示,禁止在业务系统的URL、返回参数等地方使用OpenID、unionid。
禁止在小程序前端代码中,写入明文的AppId和secret、AccessKey及其他敏感配置信息。
敏感数据前端展示,应进行脱敏处理,敏感数据包括但不仅限于姓名、手机号、地址等。
05、身份鉴别
在实现会话管理功能时,应同时满足以下几条要求:
(1)建立唯一的,具有一定复杂度的用户会话标识。
(2)通过OpenID或unionid识别用户身份,并建立账号绑定关系。
(3)应具有超时退出机制,超过一定空闲时间,会话标识失效。
(4)禁止使用不安全的鉴权方式,例如使用手机号鉴权,可能存在信息泄露的风险。
06、其他
正式发布前,要关闭小程序调试模式。
进行渗透测试,针对前端代码和小程序API进行安全检测。
对小程序前端代码进行必要的保护措施,如代码加密、压缩、混淆、反调试等。
微信小程序安全需求基线相关推荐
- 计算机毕业设计Python+uniapp校园服务微信小程序(小程序+源码+LW)
计算机毕业设计Python+uniapp校园服务微信小程序(小程序+源码+LW) 该项目含有源码.文档.程序.数据库.配套开发软件.软件安装教程 项目运行 环境配置: Pychram社区版+ pyth ...
- ssm基于微信小程序的恋上诗词设计与实现毕业设计源码011431
基于SMM微信小程序的恋上诗词设计与实现 摘 要 随着我国经济迅速发展,人们对手机的需求越来越大,各种手机软件也都在被广泛应用,但是对于手机进行数据信息管理,对于手机的各种软件也是备受用户的喜爱,恋 ...
- 计算机毕业设计Python+uniapp扫码点餐微信小程序(小程序+源码+LW)
计算机毕业设计Python+uniapp扫码点餐微信小程序(小程序+源码+LW) 该项目含有源码.文档.程序.数据库.配套开发软件.软件安装教程 项目运行 环境配置: Pychram社区版+ pyth ...
- (附源码)记账微信小程序 毕业设计180815
记账微信小程序 摘 要 随着我国经济迅速发展,人们对手机的需求越来越大,各种手机软件也都在被广泛应用,但是对于手机进行数据信息管理,对于手机的各种软件也是备受用户的喜爱,记账微信小程序被用户普遍使用, ...
- (附源码)小程序记账微信小程序 毕业设计180815
记账微信小程序 摘 要 随着我国经济迅速发展,人们对手机的需求越来越大,各种手机软件也都在被广泛应用,但是对于手机进行数据信息管理,对于手机的各种软件也是备受用户的喜爱,记账微信小程序被用户普遍使用, ...
- ssm+mysql+基于微信小程序的恋上诗词设计与实现 毕业设计-附源码011431
基于SMM微信小程序的恋上诗词设计与实现 摘 要 随着我国经济迅速发展,人们对手机的需求越来越大,各种手机软件也都在被广泛应用,但是对于手机进行数据信息管理,对于手机的各种软件也是备受用户的喜爱,恋 ...
- (附源码)ssm基于微信小程序的恋上诗词设计与实现 毕业设计 011431
基于SMM微信小程序的恋上诗词设计与实现 摘 要 随着我国经济迅速发展,人们对手机的需求越来越大,各种手机软件也都在被广泛应用,但是对于手机进行数据信息管理,对于手机的各种软件也是备受用户的喜爱,恋 ...
- VR场景切换-微信小程序
VR场景切换-微信小程序 业务需求 开发软件 技术方案 技术文档 微信小程序项目关键代码 app.json app.js index.json index.js index.wxml index.wx ...
- Python3 - 三天学会微信小程序(Python后端研习)
文章目录 一.day01微信小程序 1. 问题 2. 环境的搭建 2.1 Python环境 2.2 小程序环境 2.2.1 申请一个微信公众平台 2.2.2 保存自己的appid 2.2.3 下载开发 ...
- iOS开发 APP拉起微信小程序Universal Links配置
APP中有需要跳转微信小程序的需求,记录一下接入过程 步骤一:配置Associated Domains 1.登录苹果开发者中心,找到对应的Identifier勾选 Associated Domains ...
最新文章
- cocos2d-x学习笔记03:绘制基本图元
- Golang的导包和引用包的问题
- python asyncio理解_我实在不懂Python的Asyncio
- jQuery的ajax()、post()方法提交数组,参数[] 问题
- 检测对抗样本_避免使用对抗性T恤进行检测
- 转.h和.cpp文件的区别
- 全世界的狗都没有“生殖隔离” | 今日趣图
- Python——单元测试
- 计算机组成原理脱机运算器实验数据,实验三:脱机运算器实验报告.pdf
- Struts2 result type(结果类型)
- 超分辨重建-Bicubic双三次线性插值opencv实现
- JavaScript 技术篇-如何实现在线logo网站制作后的logo去水印,免费制作无水印logo方法
- 美团 O2O 供应链系统架构设计解析
- 7z文件linux怎么解压,Ubuntu 12.04下解压7z文件
- 随机森林回归预测r语言_R包 randomForest 进行随机森林分析
- 跳楼程序员让我们思考:程序员中年危机都有哪些?
- 世界上的第一台计算机什么样,世界上第一台计算机是什么样的
- python123空气质量提醒_用Python实现给女朋友定时推送消息
- 雨课堂知识点总结(二十)
- 计算机财务管理系统的目标,计算机财务管理之计算机财务管理系统的建立课件.ppt...