感谢您的反馈!
-
用户反馈
用户反馈
网络异常,请重新提交!
重新提交
敏感信息处理不当(如:隐私信息明文展示、密钥硬编码)将产生数据泄露风险。安全开发建议:
1)代码中不包括敏感信息,如密钥、AK、测试地址与账户、开发人员、用户、订单信息等。
2)敏感信息不应以明文、注释、可逆的编码/加密方式(如 base64 编码)、不安全散列函数(如 MD5、 SHA1)等形式出现在小程序文件内。
3)敏感信息脱敏的逻辑,必须在服务端完成,不能在客户端进行脱敏。代码注释、隐藏域、URL参数、cookies中的数据,也必须脱敏。
4)用于展示场景的敏感信息,如用户的身份证件号、银行卡号、手机号等,包括用户本人查看的页面,需要脱敏处理。
信息类型 |
脱敏规范 |
示例 |
身份证件号码 |
包括身份证号、军官证号、护照号、港澳通行证号码、驾驶证号码,显示前 1 位和后 1 位,其余 * 显示。 |
身份证号:5*************4 护照号:G*******6 港澳通行证:C*******3 |
手机号 |
大陆地区手机号:显示前 3 位和后 2 位,其余 * 显示。 大陆地区以外手机号: 香港、澳门:前2位+****+后2位 台湾:前2位+****+后3位 其余海外地区:显示前3后2+实际位数的* 国家码、地区号,不隐藏。 |
181******24 +852 90****85 +886 90****855 |
银行卡号 |
只显示最后 4 位,其余 * 显示。 适用于信用卡和储蓄卡。
|
************2631 ***************8476 |
个人姓名 |
中文姓名只展示最后一个字,前面补充 *;空格保留;长姓名注意展示换行。 |
*明 ***华 ***儿 |
中文姓名只有一个字的,展示一个 *。 |
* |
|
英文姓名按照段数,2段或者以上的,脱敏第一段。 |
* Hanks T* T |
|
车牌号 |
地区信息 + 车牌后三位显示明文,其它都用 * 展示。 |
浙A**55T 浙A***55T |
地址 |
简体及繁体的汉字类型:隐藏区/县级以下部分的地址。 字母类型:用6个*隐藏城市以下部分的地址。 |
浙江省杭州市西湖区****** ****** , 80331 Munich, Germany |
邮箱 |
前面部分展示前三位,如不够三位则显示全部,后面跟三个 *。 后面部分完整显示。 |
yal***@gmail.com af***@163.com |
缺省脱敏规则 |
其它字段,场景如果需要脱敏,可以使用缺省规则。 显示前 1/3 和后 1/3,其它用 * 号代替。 内容长度不能被 3 整除时,显示前 length/3.0 取整 + 1 和后 length/3.0 取整。 |
|
代码是商家小程序的重要资产,包含业务逻辑和商家信息,如果泄漏,会造成商业信息泄密、小程序伪造等风险。开发建议:
1)使用github 等第三方平台管理代码时,限制项目访问权限,不要公开敏感的内部项目代码。
2)代码中的重要逻辑(如加解密、加签、模型算法等),尽量不放在前端。
避免引入第三方资源,防止其中的恶意后门或者历史漏洞被恶意利用。如果要使用三方资源,请确保来源的可靠性,并保持版本及时更新。
商家开发使用的系统、框架,应及时升级、打补丁,防止出现框架型漏洞攻击导致的业务风险。
建议强制使用 SSL,数据通信必须加密。使用 http 未加密通信,会导致流量劫持和信息泄露。