微信小程序审核问题“包含明文的AppSecret,存在泄漏的安全风险“

最新推荐文章于 2025-06-08 10:57:08 发布
最新推荐文章于 2025-06-08 10:57:08 发布
阅读量5.4k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: 微信小程序 文章标签: p2p linq gnu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/liufeiyu1976/article/details/122598786
作者分享了一个小程序因包含明文AppSecret而连续三次审核失败的经历,表达了对于官方文档缺乏具体指导的不满。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

用了一年多的小程序,今天加了一个链接在主页上,然后就不通过,不通过,不通过,提交了3三次都是不通过。不通过原因:

你的小程序“XXXXXX”版本审核未通过,未通过原因为
1:小程序功能不符合规则:
(1):你好,当前提审小程序包中可能包含明文的AppSecret,存在泄漏的安全风险。一旦被恶意用户通过技术手段获取你的AppSecret,对方可以通过调用API获取你的小程序敏感数据,如接口调用凭证、用户信息、用户使用数据、小程序码等。出于安全考虑,开发者应将AppSecret保存 到后台服务器中,并严格保密,不向任何第三方等透露。建议你立即调整技术方案,去除小程序包中的AppSecret字样并重置可能已泄漏的AppSecret,消除风险。参考文档
查看详情

 

 

点击参考进来就这样,太官方了,完全不明白问题在那里,就不能举个例子说明一下吗?

在网上找了一天,还是不知道问题在那里,有哪位碰过这个问题的麻烦请留言,谢谢了。

结论:如果非必要还是不要使用小程序,越来越麻烦,浪费时间。

微信小程序登录鉴权最佳实践:安全又高效
移动开发前沿的博客
05-27 1087
微信小程序作为移动互联网的「轻应用」代表,已覆盖电商、社交、政务等超200个行业。登录鉴权是所有小程序的「流量入口」——用户首次使用需登录,后续操作需鉴权(验证身份)。本文将聚焦「微信官方推荐的登录流程」,结合实际开发中的常见漏洞(如Token泄露、会话劫持),给出可落地的最佳实践方案。本文将按照「概念→流程→实战→优化」的逻辑展开:先通过生活故事理解核心概念,再拆解微信官方登录流程,接着用代码实现完整方案,最后针对安全和效率给出10条关键优化建议。code。
【Web实战】微信小程序逆向
若有战,召必回
11-01 1607
2E 70 6E 67”为带存放路径的文件名称,“00 00 11 7C”对应文件在小程序包中的具体偏移位置,“00 01 01 F7“对应文件在小程序包中的数据长度。但这并不是最初的原项目文件结构,原因是微信服务器会将小程序源码中所有的“js”文件压入“app-service.js”文件中,将所有的“json”文件压入“app-config.json”中,将所有的“wxml”文件压入“page-frame.html”文件中,“wxss”则在处理之后以“html”文件的形式存留在对应页面目录之下。
uniapp开发微信小程序解决上线:审核问题包含明文AppSecret存在泄漏安全风险“以及上线之后接口请求失败
前端菜鸟好先森的博客
02-21 2273
uniapp开发微信小程序解决上线:审核问题包含明文AppSecret存在泄漏安全风险“以及上线之后接口请求失败
微信小程序代码中不应存在 AppSecret 敏感信息
ㅤㅤㅤㅤ
07-19 2116
解决方案:根据检测的机制 开发者工具是明确的知道你得AppSecret是多少,只要在代码中出现匹配的字符就会报敏感信息,可以用以下方式来避免。当然这种方式也不推荐,最好还是在服务端完成业务上的这块逻辑(对于安全方面,如果能补获到你的源码,根据取值方式照样能获取到你的AppSecret)。场景:可能有些业务需要使用第三方sdk,三方sdk需要提供AppSecret,这样就避免不了代码中会出现这个敏感信息。针对微信小程序代码质量检测AppSecret的解决方案。如果想复杂一些,可以考虑多个字段分开拼接。
微信小程序的access_token
最新发布
duke_ding2的博客
06-08 951
微信小程序的access_token
uniapp开发微信小程序:提交审核不通过,提示AppSecret存在泄漏安全风险。解决思路。
ew45218的博客
01-22 1905
微信小程序审核不通过,提示AppSecret存在泄漏安全风险
uniapp开发微信小程序:提交审核不通过,提示AppSecret存在泄漏安全风险。解决思路。_代码中不应存在appsecret敏感信息
baimao__Ch的博客
08-24 776
该文章只提供一个排查思路,请按照你所操作后得到的提示的去处理从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)
C#获取微信小程序openid等用户信息(前端+asp.net服务器端代码)
08-03
- 接收到前端发送的code后,服务器需要调用微信的`sns.code2Session`接口,这个接口需要你的小程序AppID和AppSecret,以及前端传来的code。 - 使用C#编写HTTP请求,向微信API发送POST请求,携带AppID、AppSecret和...
微信小程序云开发-获取手机号解密.zip
08-24
3. 云函数解密:在云函数中,使用微信提供的解密算法,结合小程序AppID、AppSecret、openid以及iv和encryptedData,调用微信API进行解密操作。 4. 存储和使用:解密成功后,云函数将解密后的手机号存入云数据库,...
关于微信小程序appsecret保护的问题
weixin_30628077的博客
03-21 2232
本地后端代码中通常会配置 appid 和 appsecret,直接 push 到 公有 git 库会导致所有人可见。但其他人由于不是开发者有了别的项目的 secret 用处不大。但仍建议采用某种方法加以规避,如用 .gitignore 将有敏感信息的文件忽略掉,并在README中指出由开发者自行创建这个文件之类。 转载于:https://www.cnblogs.com/zhaofeng-shu3...
详解微信小程序审核不通过的解决方法
08-28
主要介绍了详解微信小程序审核不通过的解决方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
开发微信小程序项目遇到的问题以及解决方案1
08-08
开发微信小程序项目遇到的问题以及解决方案1
[免费专栏] Android安全之检测APK中调试代码是否暴露敏感信息
橙留香Park的博客
09-01 1065
转移发布平台通知:将不再在优快云博客发布新文章,敬请移步知识星球... ...
安全课堂|关于小程序AppSecret密钥泄露漏洞官方
mingyqf的博客
09-24 3535
AppSecret小程序的唯一凭证密钥,也是获取小程序全局唯一后台接口调用凭证(
全军尽墨的Android应用:社会化授权登录及分享安全漏洞
MegatronKings的博客
10-02 3630
随着微信微博等社会化媒体的火热,第三方登录迅速成为一种快捷注册的方式,社会化分享也成为一种知识快速传播的渠道。在移动端,几乎大多数应用都接入了第三方登录或者分享组件,尤其是微信、QQ、微博三大巨头。这三者都提供了开放平台和SDK来帮助开发者接入这些功能,然而这些真的安全吗?
API接口开发安全性
qq_36042938的博客
11-22 2757
appid、appkey、appsecret、accesstoken基本概念 app_id 是用来标记你的开发者账号的, 是你的用户id,可以向第三方去申请 app_key 和 app_secret 第三方给你创建的:appKey公匙(相当于账号)AppSecret:私匙(相当于密码) app_key 和 app_secret 是一对出现的账号, 同一个 app_id 可以对应多个 app_key+app_secret, 这样 平台就可以分配你不一样的权限, 比如 app_key1 +
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值