当前提审小程序包中可能包含明文的AppSecret,提审不通过?

小程序 文章 2022-04-27 15:40 0 全屏看文

当前提审小程序包中可能包含明文的AppSecret,提审不通过?The current pre-trial mini-program package may contain plaintext AppSecrets, but the arraignment fails?

当前提审小程序包中可能包含明文的AppSecret,提审不通过?

AppID(小程序ID):wxd896aeda6cc8100a

之前一直好好的,现在就只是下拉列表增加了一个就审核不成功,报当前提审小程序包中可能包含明文的AppSecret,存在泄漏的安全风险,我这边在小程序中全部搜索后也没有发现AppSecret,secret,app_key,server_key字样。请您这边看看我的小程序中什么地方存在这样的字样,请指出后我这边好改正。



Appid (applet ID): wxd896aeda6cc8100a used to be fine. Now it's just a drop-down list. If one is added, the audit is not successful. It is reported that the current referral applet package may contain plaintext appsecret, which poses a security risk of leakage. I didn't find appsecret, secret and app after searching all the applets_ key,server_ Key. Please look here to see where there is such a word in my applet. Please point it out and let me correct it.

回答:

微喵网络:

不是让你搜AppSecret,secret,app_key,server_key,是搜secret的值

王少伟:是否也包括后台,因为只有后台服务器上有个调用接口https://api.weixin.qq.com/sns/jscode2session参数是“secret”
拾忆:

并不一定是源码内包含app secret,也可能是一串类似md5的32位字符串,或者是第三方平台需要用到的key之类的。

王少伟:这怎么找啊,搜都搜不到
王少伟:最起码给给具体位置啊。小程序审核也不说具体位置,就是一句话。
拾忆:这个目前只能自己排查了,微信不提供具体位置。
王少伟:好的,那我也只能一点一点排查了。谢谢您!
拾忆:不客气,先想想自己有没有在小程序请求外部的api,特别是get请求的,或者有没有其它用到token的。
王少伟:嗯,好的。👌
小黎:

确定没有重新上传,上传时备注说明以上情况

王少伟:我是在代码审核结果里边的查看修改指引里写的说明,没有查到app secret这样的字样

-EOF-