项目打包后，有个taro.js里存在taro.com的外链，被安全扫描出问题，需要移除

[jenkinliang]

相关平台

微信小程序

小程序基础库: 3.4.4
使用框架: Vue 3

复现步骤

运行 taro build --type weapp 后，打开文件dist/taro.js，里面有多个外链

期望结果

清除外部链接

实际结果

依然存在taro.com和jd.com

环境信息

👽 Taro v3.6.27

  Taro CLI 3.6.27 environment info:
    System:
      OS: Windows 11 10.0.22631
    Binaries:
      Node: 20.11.1 - C:\Program Files\nodejs\node.EXE
      npm: 10.2.4 - C:\Program Files\nodejs\npm.CMD
    npmPackages:
      @tarojs/cli: 3.6.8 => 3.6.8 
      @tarojs/components: 3.6.8 => 3.6.8
      @tarojs/helper: 3.6.8 => 3.6.8
      @tarojs/plugin-framework-vue3: 3.6.8 => 3.6.8
      @tarojs/plugin-html: 3.6.8 => 3.6.8
      @tarojs/plugin-platform-alipay: 3.6.8 => 3.6.8
      @tarojs/plugin-platform-h5: 3.6.8 => 3.6.8
      @tarojs/plugin-platform-jd: 3.6.8 => 3.6.8
      @tarojs/plugin-platform-qq: 3.6.8 => 3.6.8
      @tarojs/plugin-platform-swan: 3.6.8 => 3.6.8
      @tarojs/plugin-platform-tt: 3.6.8 => 3.6.8
      @tarojs/plugin-platform-weapp: 3.6.8 => 3.6.8
      @tarojs/runtime: 3.6.8 => 3.6.8
      @tarojs/shared: 3.6.8 => 3.6.8
      @tarojs/taro: 3.6.8 => 3.6.8
      @tarojs/taro-loader: 3.6.8 => 3.6.8
      @tarojs/webpack5-runner: 3.6.8 => 3.6.8
      babel-preset-taro: 3.6.8 => 3.6.8
      eslint-config-taro: 3.6.8 => 3.6.8

---

补充信息

我用taro开发一个小程序，上线后安全公司扫描小程序后得出了几个安全漏洞。
一个是通过https://taro.com和https://ftcms.jd.com的外部链接扫描出了ThinkPHP 5.x的多个漏洞，这在我的系统里是完全用不上的，只是taro build完后才出现的链接。
另一个则比较让人费解，检测小程序使用硬编码的加密密钥，请问taro开发人员，是否有使用这种风险代码？

[koppthe]

问题一：taro.js 存在外链 https://taro.com

这是 new URL() 的默认链接，并不会影响实际应用。不管换成什么链接，即使是 about:blank，也很难说公司安全漏洞检查系统会不会报告异常。

taro/packages/taro-runtime/src/bom/location.ts

Lines 19 to 26 in 851500f

	const INIT_URL = 'https://taro.com'
	const cache = new RuntimeCache<LocationContext>('location')
	class TaroLocation extends Events {
	/* private property */
	#url = new URL(INIT_URL)
	#noCheckUrl = false
	#window: any

问题二：检测小程序使用硬编码的加密密钥

这个可以具体一点吗？