一、引言：微信小程序合法域名配置的重要性

微信小程序作为移动端轻应用的核心载体，其网络请求的安全性直接决定了用户体验与数据安全。微信官方要求所有网络请求必须通过合法域名校验，并强制使用HTTPS协议与TLS 1.2及以上版本。然而，在开发调试或特殊业务场景下，开发者可能需要绕过部分限制（如不校验合法域名）或调整安全配置（如TLS版本）。本文将系统梳理微信小程序合法域名配置的核心要点，涵盖不校验合法域名、web-view业务域名设置、TLS版本与HTTPS证书的优化策略，为开发者提供可落地的解决方案。

二、不校验合法域名：开发调试的临时方案

1. 适用场景与风险

在开发阶段，若后端服务尚未部署至合法域名，或需测试本地接口，开发者可通过“不校验合法域名”选项快速验证功能。但需注意：

• 仅限开发环境：该选项仅对开发者工具生效，线上版本必须配置合法域名。
• 安全风险：绕过校验可能导致中间人攻击，需确保测试环境可信。

2. 配置步骤

1. 微信开发者工具设置：
   • 打开项目 → 点击右上角“详情” → 选择“本地设置”。
   • 勾选“不校验合法域名、web-view（业务域名）、TLS版本以及HTTPS证书”。
   • 重启开发者工具生效。
2. 代码层注意事项：
   • 即使开启不校验，仍需在app.json中声明request合法域名（线上版本必备）。
   • 示例配置：

     {
       "request": {
         "domain": ["https://test.api.com"]  // 开发环境临时域名
       }
     }

3. 替代方案：本地代理工具

对于复杂调试场景，推荐使用whistle或Charles等代理工具：

• 步骤：
  1. 配置代理工具捕获小程序请求。
  2. 在开发者工具中设置代理地址（如http://127.0.0.1:8888）。
  3. 通过代理工具修改请求/响应，无需关闭校验。
• 优势：模拟真实网络环境，避免直接绕过安全机制。

三、web-view业务域名配置：嵌入H5页面的安全规范

1. 业务域名的作用

web-view组件用于在小程序中嵌入H5页面，但微信要求所有H5域名必须提前在后台配置，否则无法加载。

• 配置入口：微信公众平台 → 小程序管理 → 开发 → 开发设置 → 业务域名。
• 域名要求：
  • 必须为HTTPS。
  • 需下载校验文件并上传至域名根目录。

2. 动态配置方案

若需动态切换业务域名（如多租户系统），可通过以下方式优化：

• 前端跳转：在web-view的src属性中拼接动态参数，但主域名需固定。

  <web-view src="https://fixed-domain.com/page?tenantId=123"></web-view>

• 后端代理：通过Nginx反向代理将不同租户请求转发至对应后端服务，对外暴露统一域名。

3. 常见问题解决

• 问题：配置后仍提示“域名不合法”。
• 排查步骤：
  1. 检查域名是否在业务域名列表中。
  2. 确认校验文件（如MP_verify_xxx.txt）已上传至根目录且可访问。
  3. 检查域名是否支持HTTPS且证书有效。

四、TLS版本与HTTPS证书：安全传输的基石

1. TLS版本要求

微信小程序强制要求使用TLS 1.2及以上版本，旧版本（如TLS 1.0/1.1）将被拒绝。

• 检查工具：使用SSL Labs（https://www.ssllabs.com/ssltest/）测试服务器TLS支持情况。
• 服务器配置示例（Nginx）：

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers HIGH:!aNULL:!MD5;

2. HTTPS证书优化

• 证书类型选择：
  • 单域名证书：适用于单一业务域名。
  • 通配符证书：如*.example.com，覆盖子域名。
  • 多域名证书：适用于多个独立域名。
• 证书有效期：微信要求证书剩余有效期需大于30天。
• 自动续期方案：使用Let's Encrypt + Certbot实现证书自动化管理。

  # 安装Certbot（Ubuntu示例）
  sudo apt install certbot python3-certbot-nginx
  # 获取证书
  sudo certbot --nginx -d example.com -d www.example.com

3. 混合内容问题

若H5页面中存在HTTP资源（如图片、JS），小程序会阻塞加载。解决方案：

• 全站HTTPS：将所有资源链接升级为HTTPS。
• CDN加速：通过CDN服务商提供的免费HTTPS服务托管静态资源。

五、最佳实践与安全建议

1. 开发环境隔离：
   • 使用独立分支或环境变量区分开发/生产域名配置。
   • 示例：通过process.env.NODE_ENV动态切换域名。

     const baseUrl = process.env.NODE_ENV === 'development' 
       ? 'https://dev.api.com' 
       : 'https://prod.api.com';

2. 安全监控：
   • 定期使用SSL Labs检查TLS配置。
   • 监控证书过期时间，设置提前30天预警。
3. 合规性：
   • 线上版本严禁开启“不校验合法域名”选项。
   • web-view域名需严格审核，避免嵌入不可信页面。

六、总结：平衡效率与安全

微信小程序的合法域名配置是保障网络通信安全的核心环节。开发者需在开发效率与安全合规之间找到平衡点：

• 开发阶段：合理使用不校验选项或代理工具加速调试。
• 线上阶段：严格遵循TLS 1.2+、HTTPS证书与业务域名规范。
• 长期维护：建立证书自动续期与安全监控机制。

通过系统掌握本文所述的配置策略与优化技巧，开发者可高效解决微信小程序开发中的网络请求问题，同时确保用户数据的安全传输。