2024年7月22日,项目接到了爱加密厂商的等保检测,其中小程序,安卓和ios都得到详细的问题报告,安卓和小程序的有专门的技术人员和DCLOUD详细的解决文档均已解决,但是IOS中的一项问题让我感到了寒心
问答社区中涉及 InnerHTML的XSS攻击风险 的问题总计11个,最近可追溯到 2024-08-19,最早可追溯到 2021-03-15 16:48,这份2021年帖子中 DCloud_heavensoft 给出解释 其实使用自己的签名证书,前端代码做好证书校验(这部分用manifest里配的原生加密),就不会有安全问题。不过既然检测工具这么报,后续我们会对这块做单独的加密处理。
当然也少不了DCloud_云服务_LQ在 2024-08-07 12:24 对这个帖子进行挖坟 表明交钱保平安。
11个问题帖子,多少人的跟帖,官方人员的一再拖延,最有趣的当然是这个帖子
https://ask.dcloud.net.cn/question/182985,一位名为YIChen的开发者也是为这个问题的解决方案绞尽脑汁,但是某一天突然顿悟,问题解决了,然后开始大肆宣传 赚点小钱,帖子中名为 DCloud_UNI_CHB的人员在2024-07-31 11:09 回复 怎么解决的?,就在我写这个帖子的时候我自己都忍不住笑了,我不知道这位人员是觉得基础库你这个开发者怎么修复还是真心不耻下问,反正就很滑稽。
从百度,google,问答社区,ChatGPT,在到官方离线打包,我一个人从0开始涉及IOS,所有的操作都得到的是高危,重新让技术看下,最后解决方案是幽默的 DCloud_云服务_LQ ,我可以交钱,比如安卓的加固,那是底层问题,jadx随便反编译,这种钱可以交,但是你DCLOUD给了我解决的希望,再来给我一盆冷水让我交钱,你特么耍我呢!?
总结:一个可以追溯到2021年的问题,到现在还无法由开发者或DCLOUD官方解决,你7月份更新的hbuildx修复了那么多问题,连一个最基本的安全问题都无法解决,所提出的邮件联系加急处理也不过是安慰剂(我发过,石沉大海),目前我查到的唯一解决方案就是使用uniapp官方加固,交钱保平安。
真是让人绝望啊,一开始的邮件联系加急处理,后来的不会有安全问题,最后的官方挖坟给我DCLOUD交钱,这一系列的链接让我一阵心寒啊。。。
