密码管理器如何防止跨站点凭证填充攻击?
最近在开发自己的密码管理器,发现用户用浏览器自动填充密码时,担心跨站点凭证填充攻击怎么办?
试过给输入框加上autocomplete="new-password",但好像没用……后来查资料说要结合HIBP API检测弱密码,但具体怎么在前端实现呢?
现在代码是这样写的:
<input type="password"
id="password"
autocomplete="new-password"
oninput="checkPasswordStrength(this.value)">
但测试时发现如果用户复制之前用过的弱密码,系统还是能通过验证。难道只能全靠后端处理吗?
- 1
回答
60浏览
React表单二次确认弹窗如何有效防止CSRF攻击?
在做用户删除功能时加了二次确认弹窗,但同事说这不能防止CSRF攻击。我用React写了个带确认对话框的组件,代码类似这样: function DeleteButton() { const handle...
- 1
回答
20浏览
拖拽区域被iframe覆盖后如何防止点击劫持?
最近在开发一个拖拽上传功能时遇到个难题:页面被嵌入到其他站点的iframe中后,攻击者用透明iframe覆盖我的拖拽区域,诱导用户"误操作"。虽然设置了X-Frame-Options: deny和Co...
- 1
回答
18浏览
前端用JWT时,如何防止Token被XSS攻击窃取?
我在项目里用localStorage存JWT token,但同事说这样容易被XSS攻击,我试过把token加密存进去,但后端验证时解密失败了。现在改成用httpOnly的cookie,但axios发请...
- 1
回答
165浏览
前端如何防止频繁登录尝试导致的密码暴力破解?
我现在在做登录功能的安全防护,想限制用户频繁提交密码。之前尝试用前端倒计时禁用提交按钮:setDisabled(true),但用户直接刷新页面就能继续尝试,这样根本没效果。 后端同事说他们已经做了失败...
- 1
回答
214浏览
React登录限制如何防止频繁尝试导致接口被攻击?
我给登录表单加了防抖和错误次数限制,但测试时发现攻击者还是能不断重试,这是为什么? 现在用useState记录错误次数,超过3次就禁用按钮,还用了防抖处理: const Login = () =>...
- 1
回答
20浏览
React密码强度验证如何有效检测特殊字符?
我在做一个密码强度验证的React组件,要求密码必须包含至少一个特殊字符。写了正则表达式检测,但检测总是失败,明明输入了@符号也没反应,哪里出问题了? 这是我的表单处理代码,用了onChange实时验...
- 1
回答
13浏览
React表单提交如何防止CSRF攻击?隐藏字段没生效?
在React项目里做订单取消功能,用隐藏字段传CSRF令牌,但提交时后端返回403错误。代码是这样写的: function CancelOrderForm() { const [csrfToken, ...
- 1
回答
18浏览
如何防止页面中的按钮被Strokejacking攻击?
我在开发一个在线支付页面时,发现按钮区域容易被恶意页面通过透明IFrame覆盖,导致用户误触转账操作。虽然设置了X-Frame-Options: DENY,但测试时发现攻击页面仍然能嵌套我的页面。 我...
- 1
回答
35浏览
联邦学习中本地加密数据如何防止中间人攻击?
最近在做前端联邦学习项目,需要加密用户数据后再上传到服务端聚合。我用AES加密数据后再通过HTTPS发送,但测试时发现中间人能通过抓包获取加密密钥。看代码哪里有问题? const crypto = r...
- 2
回答
24浏览
React中使用dangerouslySetInnerHTML时如何有效防止XSS攻击?
我在做一个可以渲染富文本内容的功能,直接用dangerouslySetInnerHTML渲染用户提交的HTML字符串时,发现能被注入恶意脚本。虽然用了htmlspecialchars转义,但页面样式完...
autocomplete="new-password"确实不够,浏览器不会完全买账,尤其是用户主动复制粘贴的时候。防止跨站点凭证填充,关键是让密码管理器能区分“这是新密码”还是“在填登录表单”。更好的写法是结合两个手段:
第一,用正确的 autocomplete 值来标记场景。如果是注册或改密,用:
如果是登录,就用:
这样主流密码管理器(比如 Bitwarden、1Password)才能正确识别上下文,避免自动填充已保存的密码到“新建密码”框里。
第二,前端检测复制行为。你现在的 oninput 只能捕获输入,但复制粘贴不会触发 key events。要监听 cut 和 paste 事件:
然后在 checkPasswordStrength 里做两件事:一是本地跑 zxcvbn 做强度估算,二是如果长度较短或结构简单,考虑调 HIBP API 检查是否出现在泄露库中。注意 HIBP 要用 k-anonymity 方式查,别直接传完整 hash。
最后提醒一点,前端所有检查都只是提示,不能替代后端校验。用户可能绕过 JS,所以密码创建请求到达服务端时,必须再做一次完整校验,包括是否为已泄露密码、是否与用户历史密码重复等。
总之,autocomplete 是给密码管理器的信号,事件监听是防用户绕过,前后端双重校验才是兜底。
autocomplete="new-password"确实防不住,我之前也遇到过这种问题。建议用 HIBP API 检测密码是否被泄露,结合以下代码在前端加一层校验:不过完全防住还是得后端配合,光前端不行。