小程序安全检测详情 文件包含 / 读取漏洞检测

欢迎到专业群（ uni-app 官方技术交流群 1 ） 咨询，群中有相关专业的管理员和群友。

别急，这个问题在小程序安全检测中很常见，通常不是真正的漏洞，而是安全扫描工具的误报。

你提到的“文件包含/读取漏洞检测”，指向的是小程序打包后的代码。由于 uniapp 编译生成的小程序包本质上还是前端代码（JS、WXML、WXSS 等），安全工具在进行静态扫描时，如果发现代码中可能存在文件路径拼接、动态引入或读取文件相关的 API，就会判定为“文件包含/读取漏洞”风险。

核心解决思路是：

1. 代码层面排查：检查你的业务代码中是否有动态拼接文件路径、使用 fs 模块读取文件等操作。如果没有，这基本就是误报。
2. 安全加固（关键）：微信官方和 DCloud 都推荐使用“代码加固/混淆”来应对这类静态扫描误报。
3. 上传完整的检测报告进行申诉：如果确定是误报，可以向安全检测平台提交澄清说明。

具体操作步骤：

第一步：自查业务代码
请检查你的项目中是否存在以下类似操作：

• 动态拼接文件路径后，用 require 或 import 引入。
• 使用了类似 fs.readFile 这样的 Node.js 文件系统 API（在小程序端基本不可用，但可能被工具误扫）。
• 从用户输入中获取路径并加载资源。

如果以上都没有，那么可以断定是安全工具对 uniapp 编译产物的误报。uniapp 打包后的一些框架运行时代码，可能会被扫描工具误认为是“文件读取”行为。

第二步：使用微信小程序官方代码加固
微信小程序后台提供了“代码加固”功能，这是目前解决此类问题最直接有效的方法。

1. 登录微信公众平台。
2. 进入你的小程序管理后台。
3. 在“开发管理” -> “开发设置”中，找到“代码加固”选项并启用。
4. 启用后，后续上传的代码版本都会被微信官方进行混淆和加固，能有效避免静态扫描误报。

第三步：进行安全申诉
如果加固后重新检测仍未通过，你需要向安全检测平台进行申诉。

1. 准备申诉材料：将你的小程序uniapp源码、安全检测报告截图、以及说明文档打包。
2. 撰写说明文档：在文档中明确指出，该漏洞为误报。你的代码中没有实现任何文件包含/读取的逻辑，扫描工具指向的代码是uniapp框架或第三方合法库的编译产物，属于正常的前端资源加载行为，不存在攻击者可以利用的入口。
3. 提交申诉：将材料提交给安全检测平台（如腾讯云、百度云等）进行人工复核。

第四步（可选）：使用插件进行内容安全检测
如果你的小程序内有用户输入内容（如评论、发帖），为了从根源上通过内容安全审核，可以使用 uniapp 的 uni-sec-check 插件，它能对接微信官方的文本和图片内容安全检测接口。

• 插件链接：uni-sec-check

总的来说，先自查代码，如果无误，直接去微信后台开启代码加固，然后重新打包提交检测，大概率就能解决问题。如果还不行，就准备材料进行人工申诉。