众所周知,微信小程序的代码安全性很弱,很容易被别人反编译获取源码。我自己的小程序也被别人反编译拿到源码还上线了,非常无语。
既然客户端不好防范,服务端还是可以做点手脚的。
小程序的Referer是不可以更改的,从手机上发出的请求的Referer一般是这样
https://servicewechat.com/wx05ac2038cb1a1286/1000/page-frame.html
结构很清晰,可以分为四部分:
https://servicewechat.com是小程序的域名,wx05ac2038cb1a1286是小程序的APPID,1000这个数字是什么不清楚,不过看这个数字有很多,大概率是通过小程序不同页面发起的请求对应的数字不同,page-frame.html这个不用管,每个请求最后都一样。
如果你想过滤掉所以来自微信小程序的请求,只需要在加一个Referer检测的中间件,所有Referer里包含“https://servicewechat.com”的请求全部返回500就可以了。
别人拿到你的代码,肯定要在开发者工具里运行的,小程序通过开发者工具发出的请求的Referer和通过手机发出的是不同的
https://servicewechat.com/wx05ac2038cb1a1286/devtools/page-frame.html
可以看出,通过开发者工具发出的请求Referer里和普通手机发出的请求的唯一区别就是原本的数字变成了devtools,所以可以加个中间件拦截所有Referer里包含devtools的请求,当然也可以拦截到请求以后直接将请求的IP地址拉黑,一劳永逸,这样即便是用手机也无法访问你的小程序了。
当然这样也有个问题,就是你自己在开发者工具调试的时候也没办法访问服务器,可以给自己的IP地址开个白名单什么的。