接到公安网技限期整改app,说有如下安全问题(app采用的是wap2app方式):
h5加固检测,发下如下文件存在安全风险:
assets/apps/W2Axxx.com/www/wap2appconfig.js
assets/apps/W2Axxx.com/www/wap2appquit.js
assets/apps/W2Axxx.com/www/wap2apptabbar.js
assets/data/dcloud_error.html
assets/data/wap2app/wap2appquit.js
assets/data/wap2app/wap2apptabbar.js
看解决方法是,启用js混淆,打包时勾选js混淆,并配置如下:
"confusion" : {
"description" : "JS原生混淆",
"resources" : {
"assets/apps/W2Axxx.com/www/wap2appconfig.js" : {},
"assets/apps/W2Axxxcom/www/wap2appquit.js" : {},
"assets/apps/W2Axxx.com/www/__wap2apptabbar.js" : {},
"assets/data/dcloud_error.html" : {},
"assets/data/wap2app/wap2appquit.js" : {},
"assets/data/wap2app/__wap2apptabbar.js" : {}
}
},
但是打包时提示找不到js文件,请教大家改如何解决h5加固问题呢?
另外还有:
innerHtmlXss工具风险
Sqllite数据库注入风险
Java代码反编译风险
加固识别风险
上面这些是否能用加固就可以避免?大家有没有免费的加固途径推荐,还是必须用收费的才能解决?大概了解了一下收费的,都好贵。还请大家帮忙解答一下疑惑
3 个回复
efw (作者) - 不知道说啥
另外再请教一下。在那里可以免费做类似这种安全检测的?还是都是收费的
DCloud_heavensoft
https://uniapp.dcloud.net.cn/uni-app-security.html
efw (作者) - 不知道说啥
谢谢,我研究一下