参考:https://opendocs.alipay.com/mini/008gq6
服务器域名白名单
服务器域名白名单是为了保证用户安全,所做的限制性措施,使用方法如下:
- 请预先在 支付宝小程序管理中心 > 小程序详情 > 设置 > 开发设置 > 服务器域名白名单 中配置域名白名单。小程序在以下 API 调用时只能与白名单中的域名进行通讯:HTTP 请求(
my.request)、上传文件(my.uploadFile)。
添加服务器域名白名单后,需要重新打包上传生成体验版,服务器域名才会生效
若仍然报错:无权调用该接口,则可删掉域名重新配置
- 服务器域名白名单是以一级域名进行匹配的。
假如商户有 a.com 和 b.com 两个域名,业务分别部署在
1.a.com
2.a.com
1.b.com
2.b.com
3.b.com
那么,在服务器域名白名单里面只需要配置 a.com 和 b.com 即可,这里是一级域名匹配。跳过域名检验
若在 IDE 中进行测试,请设置忽略 httpRequest 域名合法性检查。IDE 中调试不受服务器域名白名单影响。
网络请求
- 默认超时时间为 30000 ms
- 小程序会自带 HTTP Referer,暂时不支持自定义设置 HTTP Referer
- 只要成功接收到服务器返回,无论 status 是多少,都会进入 success 回调函数。请开发者根据业务逻辑对返回值进行判断
HTTPS 证书
小程序必须使用 HTTPS/WSS 发起网络请求。请求时系统会对服务器域名使用的 HTTPS 证书进行校验,如果校验失败,则请求不能成功发起。由于系统限制,不同平台对于证书要求的严格程度不同。为了保证小程序的兼容性,建议开发者按照最高标准进行证书配置,并使用相关工具检查现有证书是否符合要求。
小程序只支持 HTTPS 域名配置。 相比于 HTTP,HTTPS 可以提供更加优质保密的信息,保证了用户数据的安全性,此外 HTTPS 同时也一定程度上保护了服务端,使用恶意攻击和伪装数据的成本大大提高。
因此小程序强制使用 HTTPS,还在使用 HTTP 协议的开发者需要尽快对服务器进行升级。
