微信小程序 安全指引·開發(fā)原則與注意事項

安全指引

開發(fā)原則與注意事項

本文檔整理了部分小程序開發(fā)中常見的安全風險和漏洞，用于幫助開發(fā)者在開發(fā)環(huán)節(jié)中發(fā)現(xiàn)和修復相關漏洞，避免在上線后對業(yè)務和數(shù)據(jù)造成損失。開發(fā)者在開發(fā)環(huán)節(jié)中必須基于以下原則：

1. 互不信任原則，不要信任用戶提交的數(shù)據(jù)，包括第三方系統(tǒng)提供的數(shù)據(jù)，必要的數(shù)據(jù)校驗必須放在后臺校驗。
2. 最小權限原則，代碼、模塊等只擁有可以完成任務的最小權限，不賦予不必要的權限。
3. 禁止明文保存用戶敏感數(shù)據(jù)。
4. 小程序代碼（不包括云函數(shù)代碼）跟傳統(tǒng) Web 應用的前端代碼類似，可被外部獲取及進行反混淆，重要業(yè)務邏輯應放在后臺代碼或云函數(shù)中進行。
5. 后臺接口調用以及云函數(shù)調用，必須進行有效的身份鑒權。