前端用Argon2哈希密码后,跨域请求被拦截怎么办?
我在前端用JavaScript调用Argon2对用户密码进行哈希处理,然后通过fetch发送到后端,但一直报错“Blocked by CORS policy: No ‘Access-Control-Allow-Origin’ header present”。后端已经设置了CORS头,但问题依旧。尝试过在请求头里加mode: ‘no-cors’,但数据没传过去。我的代码结构是这样的,CSS样式可能影响了请求?
以下是相关的CSS代码:
.form-container {
max-width: 400px;
margin: 0 auto;
padding: 20px;
border: 1px solid #ccc;
}
input[type="password"] {
width: 100%;
padding: 8px;
margin: 10px 0;
box-sizing: border-box;
}
button {
background-color: #4CAF50;
color: white;
padding: 10px 20px;
border: none;
cursor: pointer;
}
问题出在哪儿?是CORS配置不对,还是Argon2处理影响了请求?
- 2
回答
56浏览
React中使用Argon2密码哈希时,为何生成的哈希值每次都不一致?
我在React项目里用argon2-browser库做密码哈希,按照文档写了注册和登录逻辑。但发现同一个密码多次哈希后得到的字符串每次都不同,导致登录验证总是失败。 比如用户注册时用argon2.ha...
- 2
回答
46浏览
Argon2密码验证通过后,为什么后续请求还是需要重新验证用户身份?
我在用Express和argon2做密码登录功能,登录时argon2.verify对比密码成功后,用session记录了用户ID。但之后调用保护的API时,express-session突然显示用户未...
- 2
回答
27浏览
前端能直接对用户密码做哈希吗?这样安全吗?
我最近在用 Vue 写一个登录页面,看到后端同事说密码要哈希存储,我就想能不能在前端先哈希再传给后端,省得传明文。但又听说这样其实不安全,有点懵。 我试了下用 crypto-js 在提交前处理密码,代...
- 2
回答
48浏览
前端加盐哈希密码真的安全吗?
我最近在做一个登录页面,想在前端对用户密码加盐再哈希,但不确定这样是不是真的安全。听说盐值不能硬编码,可如果每次随机生成,后端怎么验证呢? 我试了用 crypto-js 库,代码大概这样: const...
- 2
回答
85浏览
PWA中用Fetch拦截跨域OPTIONS预检失败怎么办?
我在开发PWA时用service worker拦截fetch请求,发现跨域请求的OPTIONS预检总是返回504。尝试用event.respondWith(new Response())模拟响应后,控...
- 2
回答
22浏览
前端注册时怎么处理密码盐值才安全?
我最近在做用户注册功能,看到后端同事说密码要加盐哈希,但我搞不清盐值到底该谁生成、怎么传。我在前端直接生成随机盐拼到密码里再发过去,这样行不行?会不会有安全隐患? 比如我现在是这么做的: <fo...
- 1
回答
30浏览
前端用 MD5 加密密码真的安全吗?
我在做一个登录页面,想在前端用 MD5 对用户密码做哈希后再传给后端。但听说 MD5 已经不安全了,可我看很多老项目还在用,有点懵。 我试过用 crypto-js/md5 这个库,代码大概是这样: i...
- 1
回答
40浏览
前端请求被拦截,Referrer Policy 到底该怎么配?
我在做跨域请求时老是被浏览器拦掉,控制台提示“Referrer Policy 限制了 referer 头”。试过在 meta 里加 <meta name="referrer" content="...
- 2
回答
43浏览
PBKDF2在前端加密密码真的安全吗?
我在做用户注册功能,看到后端用PBKDF2加盐哈希存密码。但我想在前端也先加密一次再传给后端,这样更安全吧? 可我试了用Web Crypto API的crypto.subtle.deriveKey,结...
- 2
回答
33浏览
前端用 SHA-256 加密用户密码真的安全吗?
我最近在做一个登录页面,想在前端用 SHA-256 对用户密码做哈希后再传给后端,但听说这样其实不安全? 我试了用 Web Crypto API 做哈希,代码大概长这样: async function...
OPTIONS请求也返回Access-Control-Allow-Origin等头,比如 Node.js Express 这样写:再把前端 fetch 的
mode: 'no-cors'删掉,正常发就行,搞定。mode: 'no-cors'的使用方式上。你提到后端已经设置了CORS头,但浏览器仍然拦截请求,常见的原因有几个:
1. **CORS头设置不完整**
确保后端返回了以下响应头:
特别注意:
Access-Control-Allow-Origin不能是*,如果设置了凭据的话。2. **前端fetch配置问题**
mode: 'no-cors'这个选项会让请求变成“不透明”的,这意味着你无法知道请求是否成功,也无法获取响应数据,所以不能用来正常传输数据。你应该去掉这个选项,并确保请求头中正确设置了Content-Type。例如:3. **浏览器preflight请求失败**
如果你发送的是非简单请求(比如设置了自定义header),浏览器会先发送一个
OPTIONS请求来预检。你需要确认后端处理了OPTIONS请求并返回正确的CORS头。4. **Argon2处理本身不影响请求**
Argon2生成的是字符串,只要你确保正确地将哈希值序列化成JSON发送,不会影响请求本身。
先检查一下你后端的CORS配置是否包含上面提到的响应头,并去掉前端的
mode: 'no-cors'。然后打开浏览器开发者工具,看看Network面板里请求的实际响应头是否包含了CORS相关的字段。如果还是不行,再贴一下后端设置CORS的代码,我们可以继续排查。