梁飞鸿
梁飞鸿
  • 发布:2020-11-07 16:59
  • 更新:2020-11-09 12:56
  • 阅读:1692

检测机构检测uniapp云打包Android的App,反馈有漏洞,要求我们整改

分类:uni-app

安徽省里面找了检测机构对我们云打包的Android app进行了检测,里面有两个漏洞,发红头文件要我们整改,不然要下架,请问这两个漏洞该怎么处理

2020-11-07 16:59 负责人:无 分享
已邀请:
DCloud_heavensoft

DCloud_heavensoft

这是检测错误。
os有所有的api,你使用不当,就会被报有风险。
uni-app引擎也一样,也有所有api。你使用不当就会被报风险。
但是这个检测,不是检测你的代码,而是去检测了uni-app引擎的原生代码,如果你事实上没有去使用有风险的api,那么就不会有问题。而这个检测报告没有去检测你的js代码。

关于第一个问题,首先如果你没有使用web-view组件,就根本不涉及。如果使用了web-view组件,设置所有请求为https,防止被劫持,然后设置禁止远程网页调用plus能力,即使被劫持了,这些恶意网页也不能调用手机端的plus增强能力。

第二个问题。uni-app的逻辑层根本不在webview里,你的业务如果保存密码,走的也是原生存储。但是,没有app会在本地保存密码,本地只能保存token,这个业务逻辑使用时要注意。

  • 梁飞鸿 (作者)

    感谢大佬

    2020-11-07 17:22

  • 1***@163.com

    我们也遇到检测问题,我们没有微信支付功能,被检测说有用到微信支付。我们应该怎么反馈呢??

    2021-03-18 15:15

DCloud_App_Array

DCloud_App_Array

补充说明下addJavascriptInterface漏洞的问题,实际上只有Android4.2及以下系统才存在,目前uni-app最低要求Android4.4及以上版本。
详情参考:https://www.linuxidc.com/linux/2013-09/89758.htm

该问题目前已经被锁定, 无法添加新回复