安徽省里面找了检测机构对我们云打包的Android app进行了检测,里面有两个漏洞,发红头文件要我们整改,不然要下架,请问这两个漏洞该怎么处理
梁飞鸿
- 发布:2020-11-07 16:59
- 更新:2020-11-09 12:56
- 阅读:1694
这是检测错误。
os有所有的api,你使用不当,就会被报有风险。
uni-app引擎也一样,也有所有api。你使用不当就会被报风险。
但是这个检测,不是检测你的代码,而是去检测了uni-app引擎的原生代码,如果你事实上没有去使用有风险的api,那么就不会有问题。而这个检测报告没有去检测你的js代码。
关于第一个问题,首先如果你没有使用web-view组件,就根本不涉及。如果使用了web-view组件,设置所有请求为https,防止被劫持,然后设置禁止远程网页调用plus能力,即使被劫持了,这些恶意网页也不能调用手机端的plus增强能力。
第二个问题。uni-app的逻辑层根本不在webview里,你的业务如果保存密码,走的也是原生存储。但是,没有app会在本地保存密码,本地只能保存token,这个业务逻辑使用时要注意。
梁飞鸿 (作者)
感谢大佬
2020-11-07 17:22
1***@163.com
我们也遇到检测问题,我们没有微信支付功能,被检测说有用到微信支付。我们应该怎么反馈呢??
2021-03-18 15:15