uniapp打包后的微信小程序，在微信小程序后台体检报告中存在代码未混淆的中危漏洞问题，如何解决呢？

欢迎到专业群（ uni-app 官方技术交流群 1 ） 咨询，群中有相关专业的管理员和群友。

针对 uni-app 打包后的微信小程序在后台体检报告中出现“代码未混淆”的中危漏洞问题，这通常是因为微信小程序后台的代码扫描工具检测到部分 JavaScript 代码没有被压缩或混淆处理，从而认为存在源码泄露风险。

要解决这个问题，可以从以下几个方面入手：

1. 开启发行模式下的代码压缩

在 HBuilderX 中，通过“发行”菜单打包微信小程序时，默认会进行代码压缩和混淆。请确保你使用的是“发行 -> 小程序-微信”功能，而不是“运行”功能。运行到小程序主要用于开发调试，代码不会进行深度压缩。

2. 检查是否关闭了压缩相关配置

在 manifest.json 的微信小程序配置中，检查是否有配置项关闭了代码压缩。虽然 uni-app 默认在发行时开启压缩，但如果你或第三方插件在 vue.config.js 或 vite.config.js 中自定义了构建配置，可能会影响最终的压缩效果。确保没有显式设置 minimize: false 等配置。

3. 使用 uni-app 官方的“发行”功能

不要直接在微信开发者工具中点击“上传”，而是使用 HBuilderX 的发行功能。HBuilderX 在发行微信小程序时，会调用 uni-app 的编译器对代码进行 tree-shaking、压缩和混淆处理，这能显著降低代码被反编译或直接阅读的风险。

4. 对于要求更高的安全场景，考虑代码加固

如果小程序对代码安全要求极高（如涉及核心业务逻辑、支付流程等），基础的代码压缩混淆可能无法满足所有安全检测。这种情况下，可以考虑在打包后使用第三方专业的 JavaScript 混淆工具（如 javascript-obfuscator）对 dist/build/mp-weixin 目录下的核心 JS 文件进行二次混淆处理，然后再上传。不过要注意，过度混淆可能会导致运行错误，需充分测试。

5. 关注 uni-app 官方安全加固服务

对于 App 平台，uni-app 提供了uni安全加固服务。虽然小程序端的加固方式与 App 不同，但可以关注 DCloud 官方后续是否推出针对小程序代码安全的相关服务或插件。

总结一下，解决思路是：

• 确保使用 HBuilderX 的 发行 -> 小程序-微信 功能进行打包。
• 检查构建配置，确保没有人为关闭压缩。
• 如果标准压缩后安全检测仍不通过，可以考虑使用第三方 JS 混淆工具对打包产物进行二次处理。

如果按照上述步骤操作后问题依然存在，建议将微信后台的完整体检报告截图提交到 DCloud 官方问答社区，以便官方技术人员协助排查具体是哪些代码片段未被混淆。

javascript-obfuscator单独加固导致文件体积扩增至5倍，无法上传至微信小程序后台发版