域名白名单控制:在小程序管理后台正确配置request合法域名、socket合法域名和uploadFile合法域名,防止跨站请求伪造(CSRF)攻击。
内容安全策略(CSP):虽然小程序环境与传统Web有所不同,但仍可通过以下方式增强内容安全:
• 避免使用eval()等危险函数
• 谨慎使用动态渲染(如wx.parse富文本解析)
• 对web-view加载的内容实施严格限制
2.3 认证与会话管理
安全的登录流程:
1. 使用平台提供的登录机制(如微信login获取code)
2. 通过code向开发者服务器换取session_key和自定义登录态
3. 服务器返回token时应设置合理有效期并启用刷新机制
javascript
复制
// 微信小程序登录示例
wx
.login({
success: res => {
if (res.code) {
wx
.request({
url: 'https://yourdomain.com/api/login',
data: { code: res.code },
success: res => {
// 存储token到安全存储区
wx
.setStorageSync('auth_token', res.data.token)
}
})
}
