小程序加速安全防护配置

多重安全防护
为解决微信小程序业务在各种应用场景中遇到的恶意注册、虚假刷单、群控养号、营销作弊等黑灰产风险和安全问题，小程序加速网关推出安全防护能力，帮助开发者应对刷单、虚假交易、恶意骗取补贴等营销作弊风险和批量注册、伪造身份等注册黑产风险，以及抢购后二次高价售卖等严重破坏品牌形象问题。
小程序加速网关安全防护能力是基于微信提供的威胁情报信息，比如账号身份及用户特征等多维数据进行智能模型分析，综合判断当前请求是否安全，可以更精准识别假人假机、假人真机，真人假机，真人真机等各种不同黑灰产技术及手段。
高级安全防护
为防止有漏网之鱼，小程序加速网关上线了自定义安全防护策略的高级能力，主动识别漏网之鱼，结合请求特征、设备信息、账号等多维的数据形成智能分析模型，对流量进行环境检测、智能验证等更高级别的处理，支持业务自行决策防护形态同时支持切换至安全性更高的验证码形态。高级安全防护当前支持两种防护策略。控制台配置后，将分钟级生效，不需修改代码，无需小程序发版。
网关拦截
选择网关拦截策略，小程序加速网关将根据业务配置的响应内容，直接返回指定的响应页面，请求不再流转到业务侧。开发者可在页面配置响应内容，触发拦截后网关将直接给客户端发送配置的内容。
业务决策
选择业务决策策略，小程序加速网关将在请求的 Header 中增加 x-wx-risk-rank 、x-wx-device-risk-rank 等参数。业务收到请求后，可根据该参数执行业务侧处理策略。
x-wx-risk-rank 参数取值范围0-4，数字越大表示风险越高。风险等级说明和使用建议如下：
风险等级
建议处置方案
风险等级0
无风险，不做任何阻拦。
风险等级1
低微可疑的风险，建议进行简单的验证（如验证码、短信等）。
风险等级2
轻度可疑的风险，建议进行简单的验证（如验证码、短信等）。
风险等级3
中度可疑的风险，建议根据业务场景采取一定措施避免伤害。例如，营销活动可降低高等级奖励的概率；打榜类活动对此类投票降低权重；登录注册要求二次验证等。
风险等级4
高度可疑的风险，建议根据业务逻辑直接拦截。例如，红包类活动返回不中奖或最小额红包；打榜类活动不计算票数；登录/注册操作要求二次验证；高危业务可选择限制本次操作。
其他设备相关参数说明如下：
Header
说明
x-wx-platform
操作系统：iOS/Android/Windows/macOS/DevTools/ohos
x-wx-device-risk-rank
设备风险等级0-4，数字越大风险越高。
x-wx-device-security-status
设备安全状态，接入安全插件后信息才会更精准。
x-wx-device
操作设备详细来源信息。
x-wx-device-uv-1d
当前设备最近1天的 UV 数量，即当前设备仅1天登录过的微信个数。
x-wx-sub-session
从操作设备获取的附属设备信息。
开发者可根据接口返回的风险等级数判别用户/设备的风险程度，风险等级代表的意义及对应业务的使用，可参考上方的说明及建议，具体的使用可根据业务实际情况动态调整，以达到准确的拦截，保护业务健康有序的开展。
安全防护配置
使用限制
目前仅业务类型为小程序，即在微信公众平台有 APP ID 的业务类型，支持添加安全防护配置。
操作步骤
1. 登录 小程序加速控制台。
2. 单击实例 ID，进入小程序加速网关实例详情页。如未创建，请 新建网关实例。
3. 在接入管理页签，点击操作列中的查看详情。
4. 在安全防护模块，单击去添加。
5. 填写以下参数信息。
配置项
说明
策略名称
安全防护策略的名称。
以大小写字母或中文开头。
长度2-128字符。
支持数字、英文句号 “.” 或短划线 “-”、下划线 “_”。
小程序接入 URL
选择要进行安全防护的小程序 request 域名。
防护策略
选择防护策略配置类型。
网关拦截
业务决策
状态码
仅防护策略为网关拦截时需要配置。
设置当防护策略被触发时，网关返回给客户端的 HTTP 状态码。可以用来控制前端小程序对不同响应的处理逻辑。
示例：可以设置为403（禁止访问）、401（未授权）、200（自定义拦截页面成功返回）等。
Header 参数
仅防护策略为网关拦截时需要配置。
设置响应返回中的 HTTP Header 键值对。让前端或调试工具通过 Header 获取到更详细的返回信息。
Body
仅防护策略为网关拦截时需要配置。
设置响应体内容，通常是返回给前端的 JSON 字符串或文本。向小程序客户端传递更具体的拦截原因或提示内容。
策略开关
是否开启防护策略。
开启，则对该小程序 URL 的请求会经过小程序加速网关的安全防护。
关闭，则对该小程序 URL 的请求会不经过小程序加速网关的安全防护。
6. 单击确认，完成防护策略配置。

风险等级	建议处置方案
风险等级0	无风险，不做任何阻拦。
风险等级1	低微可疑的风险，建议进行简单的验证（如验证码、短信等）。
风险等级2	轻度可疑的风险，建议进行简单的验证（如验证码、短信等）。
风险等级3	中度可疑的风险，建议根据业务场景采取一定措施避免伤害。例如，营销活动可降低高等级奖励的概率；打榜类活动对此类投票降低权重；登录注册要求二次验证等。
风险等级4	高度可疑的风险，建议根据业务逻辑直接拦截。例如，红包类活动返回不中奖或最小额红包；打榜类活动不计算票数；登录/注册操作要求二次验证；高危业务可选择限制本次操作。

Header	说明
x-wx-platform	操作系统：iOS/Android/Windows/macOS/DevTools/ohos
x-wx-device-risk-rank	设备风险等级0-4，数字越大风险越高。
x-wx-device-security-status	设备安全状态，接入安全插件后信息才会更精准。
x-wx-device	操作设备详细来源信息。
x-wx-device-uv-1d	当前设备最近1天的 UV 数量，即当前设备仅1天登录过的微信个数。
x-wx-sub-session	从操作设备获取的附属设备信息。

配置项	说明
策略名称	安全防护策略的名称。以大小写字母或中文开头。长度2-128字符。支持数字、英文句号 “.” 或短划线 “-”、下划线 “_”。
小程序接入 URL	选择要进行安全防护的小程序 request 域名。
防护策略	选择防护策略配置类型。网关拦截业务决策
状态码	仅防护策略为网关拦截时需要配置。设置当防护策略被触发时，网关返回给客户端的 HTTP 状态码。可以用来控制前端小程序对不同响应的处理逻辑。示例：可以设置为403（禁止访问）、401（未授权）、200（自定义拦截页面成功返回）等。
Header 参数	仅防护策略为网关拦截时需要配置。设置响应返回中的 HTTP Header 键值对。让前端或调试工具通过 Header 获取到更详细的返回信息。
Body	仅防护策略为网关拦截时需要配置。设置响应体内容，通常是返回给前端的 JSON 字符串或文本。向小程序客户端传递更具体的拦截原因或提示内容。
策略开关	是否开启防护策略。开启，则对该小程序 URL 的请求会经过小程序加速网关的安全防护。关闭，则对该小程序 URL 的请求会不经过小程序加速网关的安全防护。

安全防护配置

本页目录：

多重安全防护

高级安全防护

网关拦截

业务决策

安全防护配置

使用限制

操作步骤