如何在前端表单提交时有效隐藏用户手机号？

Zz亦凡提问于 2026-01-25 21:35:20 阅读 35

安全

现在遇到个问题，项目里需要用户提交包含手机号的表单，但根据隐私要求只能传输后四位。试过用substr截取后四位，但发现原始手机号还在请求体里，这样还是有泄露风险。如果直接在前端把前面的数字替换成星号，会不会被别人通过network请求看到完整号码？

之前想过用加密传输，但后端说他们需要明文手机号来做风控验证。现在纠结是该在提交前做部分遮蔽处理，还是必须依赖后端来脱敏？有没有既符合隐私规范又不影响业务逻辑的实现方案？

我来解答赞 4 收藏

反馈

2 条解答

FSD-采涵 Lv1

试试看在提交前用js把手机号明文替换成后四位，同时给后端传加密后的完整手机号。后端解密处理后返回需要的明文部分。

function hidePhone(phone) {

  return phone.replace(/^(d{7})d{4}$/, '$1****');

}



function encryptPhone(phone) {

  // 这里放加密逻辑，比如用crypto库处理

  return encryptedPhone;

}



// 提交时

const rawPhone = document.querySelector('#phone').value;

const maskedPhone = hidePhone(rawPhone);

const encryptedPhone = encryptPhone(rawPhone);



fetch('/api/submit', {

  method: 'POST',

  headers: { 'Content-Type': 'application/json' },

  body: JSON.stringify({

    phone: maskedPhone,

    encryptedPhone: encryptedPhone

  })

});

2026-02-03 04:03

Code°会静 Lv1

这个问题确实有点麻烦，因为涉及到隐私保护和业务需求之间的平衡。我来给你捋一捋思路，告诉你怎么解决。

首先，前端表单提交时，直接在请求体里暴露完整手机号肯定是不行的，哪怕你用substr截取后四位，原始数据还是可能被拦截到。所以单纯靠前端处理是不够的，必须结合后端一起设计解决方案。

### 方案：前端遮蔽 + 后端脱敏

1. **前端部分**
前端可以先把手机号的部分数字替换成星号（比如只保留后四位），这样即使通过浏览器的Network面板查看请求体，也只能看到经过处理的号码。虽然这一步不能完全杜绝泄露风险，但至少能减少一点隐患。

代码示例如下：

// 假设用户输入的手机号是这个

const phoneNumber = "13812345678";



// 遮蔽前7位，只保留后4位

const maskedPhone = phoneNumber.replace(/(d{3})d{4}(d{4})/, "$1****$2");



console.log(maskedPhone); // 输出：138****5678



// 把处理后的号码发送给后端

fetch('/submit-form', {

    method: 'POST',

    headers: { 'Content-Type': 'application/json' },

    body: JSON.stringify({ phone: maskedPhone })

});

需要注意的是，这里的maskedPhone只是展示给用户或者临时用于传输，后端并不能直接用它来做风控验证，因为它是脱敏后的数据。

2. **后端部分**
后端才是关键！既然后端需要明文手机号做风控，那可以在用户提交表单的同时，把完整的手机号加密后再传给后端。后端拿到加密数据后解密还原出完整号码，并且可以根据业务需求进行脱敏处理（比如存入数据库时只保存后四位）。

加密可以用对称加密算法（如AES），确保只有后端有解密密钥。这样即使数据被中途拦截，也看不到真实号码。

示例代码（使用CryptoJS库实现AES加密）：

// 引入CryptoJS库

// 如果你在项目中没有引入，可以通过npm安装crypto-js

import CryptoJS from 'crypto-js';



const secretKey = "your-secret-key-123"; // 和后端约定好的密钥

const phoneNumber = "13812345678";



// AES加密手机号

const encryptedPhone = CryptoJS.AES.encrypt(phoneNumber, secretKey).toString();



// 发送加密后的号码给后端

fetch('/submit-form', {

    method: 'POST',

    headers: { 'Content-Type': 'application/json' },

    body: JSON.stringify({ encryptedPhone })

}).then(response => response.json())

  .then(data => console.log(data))

  .catch(error => console.error('Error:', error));

后端接收到encryptedPhone后，用同样的密钥解密，就可以得到完整的明文手机号了。

3. **为什么这么做？**
- 前端遮蔽是为了降低风险，让普通用户无法直接从请求体里获取完整号码。
- 加密传输是为了防止中间人攻击或数据被窃取。即使有人拦截到请求，也只能看到加密后的字符串，而无法知道真实号码。
- 后端负责解密和脱敏，确保业务逻辑不受影响，同时满足隐私规范。

4. **注意事项**
- 加密密钥一定要足够复杂，并且只能存储在后端，不要硬编码在前端代码里。
- 如果你的项目对安全性要求特别高，还可以考虑使用HTTPS协议进一步保护数据传输过程。
- 前端遮蔽的号码（如138****5678）只适合用来展示，真正用于业务逻辑的还是后端解密出来的明文号码。

最后，这种方案虽然稍微复杂点，但能有效兼顾隐私保护和业务需求。希望对你有帮助！如果有其他细节想了解，随时问我。

2026-01-28 21:04