微信小程序API防攻击策略

微信小程序作为当前企业的主流应用之一。相比于APP类应用，有着轻量、快速、便利等诸多优势。不需要用户安装，微信打开即用特点。整个架构示意图如下：

微信小程序应用是在微信公众平台下发布使用，调用企业API服务均需要通过外网访问。由此带来很多API服务安全问题。黄牛党可借此API服务违规调用破坏企业业务生态，获取小程序相关业务资料，给企业带来经济损失。如何防止恶意攻击，构建稳健企业应用。成为了每一个开发设计小程序者的思考放点

黄牛黑客为了能够顺利获取资源信息，防止被阻拦在攻击过程中会有以下特点：

对访问流量请求进行防护，涵盖常见的防护策略： Bot防护 ， CC安全防护 等，除此还可以制定自己的防护策略。

为防止小程序源码被爬虫获取，小程序发布时需要对源码做混淆处理。这样获取到源码也无法正常解读。

微信小程序审核未通过，原因如下：

一个平平无奇的小程序，在一次平平无奇的升级优化过程中，竟然审核未通过，很奇怪的是之前的升级过程中一直没有此问题！不过，出了问题总要解决的，好在未通过原因中给出了解决办法：“可以调用小程序内容安全API，或使用其他技术”。既然小程序提供了现成的API，那就撸TA……

首先在微信小程序开发文档中搜索关键词： 内容安全 ，可以发现微信还是很人性化的，提供了 云调用 的调用方式来进行违法违规检查，不需要服务端的支持，这样对前端的同学还是非常友好的。 内容安全文档地址

开通云开发请参考微信官方文档： 云开发 。

开通云开发，默认使用 基础版1 ，如无特殊业务要求，使用此版本即可，是免费的哦~

云开发要求创建环境，留意此处的环境ID，在小程序调用云函数的时候会用到。

在小程序项目目录下新建云函数目录 cloudfunctions ，并在 project.config.json 中注册该目录，注册后该目录会显示有云图标，如图所示：

在云函数根目录下新建云函数 msgSecCheck ，云函数新建成功后，会生成固定的目录结构，如图所示：

在云函数中调用内容安全检查的API，并对结果进行处理。

根据官方文档要求：

在云函数 msgSecCheck 目录下新建 config.json 文件，配置云调用权限，如图所示：

完成后的云函数如果不上传并部署的话，小程序是无法调用的，所以云函数有改动的话， 务必及时上传并部署 。

小程序调用云函数，此处的 env 的值就是上文中说到的环境ID， name 的值是新建的云函数的文件名。

至此，大功告成！

---