微信小程序安全指引·开发原则与注意事项

安全指引

开发原则与注意事项

本文档整理了部分小程序开发中常见的安全风险和漏洞，用于帮助开发者在开发环节中发现和修复相关漏洞，避免在上线后对业务和数据造成损失。开发者在开发环节中必须基于以下原则：

互不信任原则，不要信任用户提交的数据，包括第三方系统提供的数据，必要的数据校验必须放在后台校验。
最小权限原则，代码、模块等只拥有可以完成任务的最小权限，不赋予不必要的权限。
禁止明文保存用户敏感数据。
小程序代码（不包括云函数代码）跟传统 Web 应用的前端代码类似，可被外部获取及进行反混淆，重要业务逻辑应放在后台代码或云函数中进行。
后台接口调用以及云函数调用，必须进行有效的身份鉴权。

w3cschool 编程狮，随时随地学编程

微信小程序 安全指引·开发原则与注意事项

安全指引

开发原则与注意事项

微信小程序 指南

起步

目录结构

配置小程序

小程序框架

逻辑层

视图层

小程序运行时

自定义组件

插件

基础能力

硬件能力

开放能力

微信小程序 用户信息

微信小程序 消息

微信小程序 微信物流助手接口文档

微信小程序 快递接口(商家查看)

微信小程序 即时配送接口(商家查看)

微信小程序 广告

微信小程序 安全指引

微信小程序 调试

微信小程序 性能与体验

基础库

微信小程序 实时日志

微信小程序 小程序测速

微信小程序 小程序搜索

微信小程序 小程序直播

微信小程序 小程序直播·服务端接口

微信小程序 行业能力

微信小程序 乘车码仿原生模板

微信小程序 城市服务

微信小程序 框架（MINA）

小程序配置

框架接口

微信小程序框架逻辑层(App Service)

微信小程序框架视图层(View)

微信小程序 WXML

微信小程序 WXS

性能

微信小程序 基础组件

视图容器

基础内容

微信小程序表单组件

导航

媒体组件

地图

画布

开放数据

客服会话

无标题文章

原生组件说明

无障碍访问

微信小程序 API

微信小程序API 网络

媒体

微信小程序API 地图

微信小程序API 图片

微信小程序API 视频

微信小程序API 音频

微信小程序API 背景音频

微信小程序API 实时音视频

微信小程序API 录音

微信小程序API 相机

微信小程序API 富文本

微信小程序API 音视频合成

微信小程序API 实时语音

微信小程序API 画面录制器

微信小程序API 视频解码器

文件

数据

微信小程序API 位置

微信小程序 设备

微信小程序API NFC

界面

微信小程序API 绘图

WXML节点信息

微信小程序安全指引·开发原则与注意事项

微信小程序指南

微信小程序用户信息

微信小程序消息

微信小程序微信物流助手接口文档

微信小程序快递接口(商家查看)

微信小程序即时配送接口(商家查看)

微信小程序广告

微信小程序安全指引

微信小程序调试

微信小程序性能与体验

微信小程序实时日志

微信小程序小程序测速

微信小程序小程序搜索

微信小程序小程序直播

微信小程序小程序直播·服务端接口

微信小程序行业能力

微信小程序乘车码仿原生模板

微信小程序城市服务

微信小程序框架（MINA）

微信小程序基础组件

微信小程序设备

微信小程序服务端

微信小程序小程序使用

微信小程序运力方使用

微信小程序小程序使用

微信小程序运力方使用

微信小程序运维中心

微信小程序小程序搜索

微信小程序服务市场

微信小程序生物认证

微信小程序订阅消息

微信小程序工具

微信小程序云开发

微信小程序云开发数据库API

微信小程序云开发SDK文档文件存储

微信小程序云开发SDK文档微信支付

SDK数据库聚合操作符$

微信小程序扩展能力