支付宝小程序网络 API 使用注意事项

参考：https://opendocs.alipay.com/mini/008gq6

服务器域名白名单

服务器域名白名单是为了保证用户安全，所做的限制性措施，使用方法如下：

• 请预先在 支付宝小程序管理中心 > 小程序详情 > 设置 > 开发设置 > 服务器域名白名单 中配置域名白名单。小程序在以下 API 调用时只能与白名单中的域名进行通讯：HTTP 请求（my.request）、上传文件（my.uploadFile）。

添加服务器域名白名单后，需要重新打包上传生成体验版，服务器域名才会生效

若仍然报错：无权调用该接口，则可删掉域名重新配置

• 服务器域名白名单是以一级域名进行匹配的。

假如商户有 a.com 和 b.com 两个域名，业务分别部署在
1.a.com
2.a.com
1.b.com
2.b.com
3.b.com
那么，在服务器域名白名单里面只需要配置 a.com 和 b.com 即可，这里是一级域名匹配。

跳过域名检验

若在 IDE 中进行测试，请设置忽略 httpRequest 域名合法性检查。IDE 中调试不受服务器域名白名单影响。

网络请求

• 默认超时时间为 30000 ms
• 小程序会自带 HTTP Referer，暂时不支持自定义设置 HTTP Referer
• 只要成功接收到服务器返回，无论 status 是多少，都会进入 success 回调函数。请开发者根据业务逻辑对返回值进行判断

HTTPS 证书

小程序必须使用 HTTPS/WSS 发起网络请求。请求时系统会对服务器域名使用的 HTTPS 证书进行校验，如果校验失败，则请求不能成功发起。由于系统限制，不同平台对于证书要求的严格程度不同。为了保证小程序的兼容性，建议开发者按照最高标准进行证书配置，并使用相关工具检查现有证书是否符合要求。

小程序只支持 HTTPS 域名配置。 相比于 HTTP，HTTPS 可以提供更加优质保密的信息，保证了用户数据的安全性，此外 HTTPS 同时也一定程度上保护了服务端，使用恶意攻击和伪装数据的成本大大提高。

因此小程序强制使用 HTTPS，还在使用 HTTP 协议的开发者需要尽快对服务器进行升级。