微信小程序 安全指引·開發(fā)原則與注意事項(xiàng)

安全指引

開發(fā)原則與注意事項(xiàng)

本文檔整理了部分小程序開發(fā)中常見(jiàn)的安全風(fēng)險(xiǎn)和漏洞，用于幫助開發(fā)者在開發(fā)環(huán)節(jié)中發(fā)現(xiàn)和修復(fù)相關(guān)漏洞，避免在上線后對(duì)業(yè)務(wù)和數(shù)據(jù)造成損失。開發(fā)者在開發(fā)環(huán)節(jié)中必須基于以下原則：

1. 互不信任原則，不要信任用戶提交的數(shù)據(jù)，包括第三方系統(tǒng)提供的數(shù)據(jù)，必要的數(shù)據(jù)校驗(yàn)必須放在后臺(tái)校驗(yàn)。
2. 最小權(quán)限原則，代碼、模塊等只擁有可以完成任務(wù)的最小權(quán)限，不賦予不必要的權(quán)限。
3. 禁止明文保存用戶敏感數(shù)據(jù)。
4. 小程序代碼（不包括云函數(shù)代碼）跟傳統(tǒng) Web 應(yīng)用的前端代碼類似，可被外部獲取及進(jìn)行反混淆，重要業(yè)務(wù)邏輯應(yīng)放在后臺(tái)代碼或云函數(shù)中進(jìn)行。
5. 后臺(tái)接口調(diào)用以及云函數(shù)調(diào)用，必須進(jìn)行有效的身份鑒權(quán)。