Merge branch 'master' of gitee.com:dcloud/unidocs-zh into master

df7da244 · 杜庆泉 · 161d8660 · b1689cc6 · df7da244 · df7da244
4 changed file
--- a/docs/collocation/manifest-app.md
+++ b/docs/collocation/manifest-app.md
@@ -173,6 +173,7 @@ iOS平台云端打包相关配置
            "allowDownloadWithoutWiFi": false // 是否允许用户在非WiFi网络时进行x5内核的下载。（如果为true，就不会显示用户确认的弹窗。）
          }
        },
+		"checkPermissionDenied": false, // 是否校验已拒绝权限 如果拒绝则不会再申请 默认false 不校验已拒绝权限
        "distribute": {      //必选，JSON对象，云端打包配置
            "android": {            //可选，JSON对象，Android平台云端打包配置
                "packagename": "",          //必填，字符串类型，Android包名

--- a/docs/tutorial/android-store.md
+++ b/docs/tutorial/android-store.md
@@ -8,8 +8,8 @@

 请认真的阅读以下步骤来检测自己的APP！有效的解决上架问题

-+ APP不是由HbuilderX`3.5.3+`云打包生产的请抓紧时间升级到HbuilderX`3.5.3+`版本。重新打包！
-+ APP是离线打包请升级SDK到`3.5.3+`版本重新编辑打包！[下载地址](https://nativesupport.dcloud.net.cn/AppDocs/download/android)
+ APP不是由HbuilderX`3.6.1+`云打包生产的请抓紧时间升级到HbuilderX`3.6.1+`版本。重新打包！
+ APP是离线打包请升级SDK到`3.6.1+`版本重新编辑打包！[下载地址](https://nativesupport.dcloud.net.cn/AppDocs/download/android)
 + 不要将自定义基座提交平台审核。调试模式下不会处理合规问题。需要注意！
 + APP没有配置隐私与政策提示框。请认真阅读[Android平台隐私与政策提示框配置方法](https://ask.dcloud.net.cn/article/36937)配置你APP的隐私弹窗。
 + 配置隐私弹窗时一定要配置使用`template`模式。否则无法上架应用市场。应用内部自己实现的隐私弹窗也不行。一定要使用uni提供的隐私弹窗并使用`template`模式切记！
@@ -51,7 +51,7 @@

 #### 2、离线打包的apk！提交市场审核被报提前获取用户信息

-离线打包请使用3.5.3+版本的SDK。并配置uni-app的隐私协议弹窗。不要自行通过原生能力实现隐私弹窗，否则无法正常限制SDK内部获取用户信息逻辑。导致合规检测不合规！
+离线打包请使用3.6.1+版本的SDK。并配置uni-app的隐私协议弹窗。不要自行通过原生能力实现隐私弹窗，否则无法正常限制SDK内部获取用户信息逻辑。导致合规检测不合规！

 #### 3、如何解决“强制用户使用定向推送功能”问题

@@ -59,7 +59,7 @@

 #### 4、如何解决 用户点击《隐私政策》“同意”前，APP和SDK不要进行任何行为，包括SDK不能初始化，APP或SDK不能收集用户信息（包括但不限于IMEI、IMSI、设备MAC地址、软件列表、设备序列号、androidID）

-+ 请先确保APK是基于3.5.3+版本生产的！
+ 请先确保APK是基于3.6.1+版本生产的！
 + 确保已配置使用“template”模式隐私与政策提示框！
 + 隐私链接不能存在获取用户信息、定位信息等js代码。如有请去除！
 + 可以通过小米手机 系统是MIUI12设备。安装你的应用。然后查看`应用详情`-->`应用行为记录`是否在点击“同意”前有获取权限信息等情况。
@@ -85,7 +85,7 @@

 #### 8、应用没有勾选三方广告模块但是上架华为市场检测反馈集成了广告被拒

-+ 请使用HX3.5.3+重新打包
+ 请使用HX3.6.1+重新打包

 #### 9、华为市场检测app在用户同意隐私政策前申请获取用户个人信息导致无法上架市场架

@@ -99,19 +99,19 @@

 #### 11、安卓应用漏洞引发无法上架问题

-+ 请使用HX3.5.3+重新云打包
+ 请使用HX3.6.1+重新云打包
 + 对apk进行加固。推荐使用腾讯云

 [安全漏洞参考文档](https://ask.dcloud.net.cn/article/39020)

 #### 12、您的应用存在获取用户的软件安装列表敏感信息行为

-+ 请使用HX3.5.3+重新云打包
+ 请使用HX3.6.1+重新云打包
 + 检查您的应用都使用了什么模块。然后查看[Android平台各功能模块隐私合规协议](https://ask.dcloud.net.cn/article/39484)文档相关协议。将协议补充道隐私协议中。切记不要只填写链接。明文说明获取了什么信息干什么用了都要说清楚。越清晰越好。

 #### 13、应用存在不合理获取短信记录相关权限的行为

-+ 请使用HX3.5.3+打包
+ 请使用HX3.6.1+打包
 + 查看是否使用了“Messaging”模块。Messaging会涉及短信相关权限。如果不需要请删除配置。
 + 查看是否使用uni原生插件。可能是原生插件携带的权限。建议使用排除法删除插件在检测。

@@ -163,6 +163,16 @@ public class MyApplication extends DCloudApplication {

 + 可以改androidPrivacy.json的hrefLoader配置 system 提供系统浏览器显示隐私条款修复问题 具体[参考文档](https://uniapp.dcloud.io/tutorial/app-privacy-android.html)

+#### 20、关于拒绝权限重复弹窗
+
+HX3.6.1+版本 可以配置manifest.json配置checkPermissionDenied = true 校验已拒绝权限不再申请。(仅针对官方api主动权限申请行为，三方SDK、uni原生插件、plus.android.requestPermissions不受限制)
+```
+"app-plus": {
+	...
+	"checkPermissionDenied" : true,
+}
+```
+
 #### 看不懂文档不知道如何修改？

 可开通付费技术服务 参考：[https://ask.dcloud.net.cn/article/13015](https://ask.dcloud.net.cn/article/13015)

--- a/docs/tutorial/app-android-x5.md
+++ b/docs/tutorial/app-android-x5.md
@@ -64,3 +64,32 @@ x5内核存在自更新机制。所以可能存在历史版本升级了x5内核
 ### 适配问题  
 目前已知 TBS45738版本更新后会导致 uniapp vue页面的input组件adjust-position=false失效！使用x5内核的同学请知晓尽快适配，可以改为nvue或不适用x5内核。

+### 汇总x5浏览器内核加载失败问题
+
+  周五周六（18:00-21:00）服务器维护不支持下载
+  不支持X86设备
+  频繁下载x5浏览器内核的IP会被限流下载
+  非wifi环境需要配置`allowDownloadWithoutWiFi`为true开启下载
+  离线打包debug环境下，可会导致下载失败
+
+### 非WiFi情况下载X5浏览器内核
+
+manifest.json 配置webView节点
+ 5+app 放在plus节点
+ uni-app 放在app-plus节点
+
+**示例：**
+```
+app-plus {
+	...
+	...
+	"webView": {// 3.5.0 + 仅Android支持
+	    "x5": { // 此属性需要勾选 Android X5 Webview 模块，详细参见下面的说明
+	        "timeOut": 3000, // 超时时间
+	        "showTipsWithoutWifi": true, // 是否在非WiFi网络环境时，显示用户确认下载x5内核的弹窗。默认值false
+	        "allowDownloadWithoutWiFi": false // 是否允许用户在非WiFi网络时进行x5内核的下载。默认值false（如果为true，就不会显示用户确认的弹窗。）
+	    }
+	}
+}
+
+```
\ No newline at end of file
--- a/docs/uniCloud/secret-net.md
+++ b/docs/uniCloud/secret-net.md
@@ -13,7 +13,7 @@

 当DCloud同时提供了`uni-app` 和 `uniCloud`时，事实上具备了提供云端一体的安全网络的能力。

-在HBuilderX 3.5.5+ ，当开发者同时使用 `uni-app` 和 `uniCloud` 时，可以在网络请求时选择是否通过安全网络运行，它通过高安全的保护机制，防止客户端伪造和通信内容抓包。
+在HBuilderX 3.6.2+ ，当开发者同时使用 `uni-app` 和 `uniCloud` 时，可以在网络请求时选择是否通过安全网络运行，它通过高安全的保护机制，防止客户端伪造和通信内容抓包。

 注意：安全网络不支持web平台，只支持微信小程序和App。并且App的安全级别更高。

@@ -21,7 +21,7 @@

 |App|微信小程序|
 |:-:|:-:|
-|后续支持|3.5.5+|
+|后续支持|3.6.2+|

 ## 开通流程

@@ -90,7 +90,6 @@ uniCloud.callFunction({
 })
 ```

-
 - 云对象

 客户端通过importObject调用云对象时，加入secret和secretMethods参数。
@@ -102,8 +101,42 @@ uniCloud.importObject('object-name', {
 })
 ```

+## 服务器端
+
+为了避免客户端伪造参数获取服务器敏感数据，应以服务器端为准，如果客户端携带的 `secretType` 不符合要求应拒绝响应数据
+
+- callFunction
+
+```js
+exports.main = async (event, context) => {
+  const secretType = context.secretType
+  // secretType 是客户端调用 uniCloud.callFunction 传递的参数 secretType

-**secret 属性说明**
+  if (secretType !== 'both' || secretType !== 'response') {
+    return null
+  }
+}
+```
+
+- 云对象
+
+```js
+module.exports = {
+  async _before() {
+    const methodName = this.getMethodName()
+    const clientInfo = this.getClientInfo()
+    const secretType = clientInfo.secretType
+    // secretType 是客户端调用 uniCloud.importObject 传递的参数 secretMethods
+
+    if (methodName === 'login' && (secretType !== 'both' || secretType !== 'response')) {
+      throw new Error('secretType invalid')
+    }
+  }
+}
+```
+
+
+**secretType 属性说明**

 |值				|描述																						|
 |:-:			|:-:																						|
@@ -114,7 +147,9 @@ uniCloud.importObject('object-name', {

 **secretMethods 属性说明**

-`secretMethods` 是云对象中指定需要加密的方法名。因为云对象导入后，调用方法时没有额外指定的方式，所以集中在这里配置。如果不配置，则云对象的所有方法请求时都会加密。
+`secretMethods` 是云对象中指定需要加密的方法名。可对每个方法配置，例如: `secretMethods: {'login':'both'}`，指定 `login` 方法的 `secretType` 为 both
+
+


 ## 小贴士