微信小程序自问世之初就被寄予了“方便、快捷、即开即用、用完就走、不需要下载冗余App、降低内存占用”等殷切期望。，很显然，在当前这个讲究便捷的时代，越来越多的微信小程序逐渐走进人们的生活中，有着极大的发展前景以及广泛的应用场景。

微信小程序采用JavaSBridge框架搭建，其较为“特殊”开发语言和文件基于微信的开发商腾讯公司自主定义的WXML/WXSS和JS开发语言标准。其中，微信小程序的视图层和逻辑层由两个运行在WebView的线程组成。从本质上来讲，微信小程序这种架构设计依旧依赖于WebView，但首屏渲染模式在双线程的管理模式下进行了加速，避免了单线程下JS运行造成页面的加载和渲染阻塞。

小程序存在的问题及解决办法

1. Web接口漏洞

如今微信小程序用户与日俱增，同时也存在着一些漏洞。

第一，XSS攻击，是指恶意攻击者将脚本代码插入网页当中，当用户浏览网页时，会自动执行网页中嵌入的脚本代码，从而对用户进行恶意攻击。
第二，CSRF攻击，是指使用户对当前登录的Web应用程序执行非本意操作的攻击方法。
第三，各类越权漏洞，指服务器对客户端的数据操作请求过度信任，从而忽略了判断用户操作的权限，允许该用户修改相关参数，使其可以使用添加、删除、检查和修改其他账户的功能，从而导致越权漏洞。

2. 业务逻辑漏洞

业务逻辑漏洞是指后端服务本身的业务逻辑漏洞。

例如，任意修改订单金额、手机验证码回传、检索密码设计缺陷。

3. 微信业务方面的解决办法

• 微信也在查补漏洞产生上做出了努力，微信小程序不同于H5，重复提交需要重复审核，这在一定程度上减少了恶意小程序攻击的机会。

• 传统的App直接运行在安卓系统或者IOS系统上，而微信小程序依附于微信的基本框架，相当于手机上的一个应用，攻击微信小程序需要透过微信框架，因此攻击微信小程序的难度巨大。

• 同时开发微信的腾讯公司作为中国高新技术中的龙头，在处理公司产品微信时，不敢有任何疏漏，在小程序开发、测试、上线等步骤中设置了许多规定，以提高小程序的安全性。2001年4月，腾讯安全应急中心在微信官方账号上正式宣布，腾讯将开放可疑黑灰产微信账号反馈入口，且反馈入口将永久免费使用。

• 微信开发团队对于小程序的相关安全措施，主要依靠官方团队提供的源码上线审核等一系列措施进行技术防护，还有开发者对数据库信息调用接口，以及在各个有信息传输的位置采取一些算法的加密来维护安全。