元素
元素
工具
博客
问答

移动端React输入框的value被键盘劫持篡改怎么办?

Mr.彤彤 阅读 52
移动

在开发React登录页时,密码输入框的value突然被改成奇怪字符,明明设置了受控组件:


function Login() {
  const [password, setPassword] = useState('');
  return (
    <input
      type="password"
      value={password}
      onChange={(e) => setPassword(e.target.value)}
      onKeyDown={(e) => console.log('输入值:', e.target.value)}
    />
  );
}

但用户实际输入”123456″时,控制台却打印出”abc**”,而且输入法候选框显示的内容与输入框显示不一致。试过给输入框加blur事件校验,但攻击者似乎在键盘事件冒泡阶段就修改了value。这种移动端特有的键盘劫持该怎么防御?

移动端安全键盘劫持
我来解答 赞 4 收藏
二维码
手机扫码查看
反馈
2 条解答
Dev · 东慧
Dev · 东慧 Lv1
哈,又遇到移动端输入法作妖的问题了。这其实是某些第三方输入法的"智能联想"特性在捣乱,我们可以用这些方法防御:

1. 首先确保你的受控组件写法没问题,但可以优化成更健壮的版本:

const handleChange = (e) => {

  const rawValue = e.target.value;

  // 过滤非ASCII字符

  const filtered = rawValue.replace(/[^x00-x7F]/g, '');

  setPassword(filtered);

}


2. 加个防抖处理避免频繁触发,同时处理中文输入法问题:

const [composition, setComposition] = useState(false);



<input

  type="password"

  value={password}

  onChange={handleChange}

  onCompositionStart={() => setComposition(true)}

  onCompositionEnd={(e) => {

    setComposition(false);

    handleChange(e);

  }}

/>


3. 终极方案是禁用输入法(如果产品允许):
inputmode="none"

实测下来组合方案2+基础过滤效果最好。顺便吐槽下,有些输入法的"智能"功能真的让人头大,上周我也被坑过...
点赞 1
2026-03-05 21:07
闲人瑞瑞
闲人瑞瑞 Lv1
我一般直接用受控组件加个防抖校验,简单粗暴:

function Login() {

  const [password, setPassword] = useState('');

  const lastValue = useRef('');



  const handleChange = (e) => {

    const currentValue = e.target.value;

    if (currentValue.length < lastValue.current.length || 

        currentValue.slice(0, lastValue.current.length) !== lastValue.current) {

      console.warn('检测到异常输入');

      setPassword(lastValue.current); // 恢复上一个值

      return;

    }

    lastValue.current = currentValue;

    setPassword(currentValue);

  };



  return (

    <input

      type="password"

      value={password}

      onChange={handleChange}

    />

  );

}


这个方案省事又有效,直接拦截非法修改。要真遇到特别顽固的攻击,建议后端再加一层校验,反正前端永远不可信。
点赞 1
2026-02-17 12:04
相关推荐
元素
元素
工具
博客
问答
登录/注册