前端用了盐值哈希为什么还是怕彩虹表攻击?我的做法哪里错了?
我在用户注册页面给密码加了随机盐值再用bcrypt加密,但看到资料说彩虹表能破解加盐的哈希?比如这样写:
/* 这是我的前端加密尝试 */
.password-hash {
content: attr(data-salt) attr(data-password);
}
测试时用在线工具发现,即使加上salt=abc123,破解工具还是能快速还原出”123456″这种弱密码。是不是前端处理盐值本身就不安全?或者我的盐值生成方式有问题?
尝试过把盐存在localStorage,但查资料说这更不安全。难道前端完全不能参与密码哈希?应该用什么方法才能真正防住彩虹表?
- 2
回答
73浏览
前端登录表单加了输入限制,为什么还是被暴力破解尝试?
我给登录表单加了最小输入长度和错误次数限制,但监控显示攻击者还是能频繁尝试。代码这样写的: 登录 let failedAttempts = 0; document.getElementById('lo...
- 2
回答
48浏览
React表单输入转义后SQL注入还是能攻击成功怎么办?
在React里处理用户输入时,我用了字符串替换方法转义了单引号,但测试时发现还是能执行SQL注入,这是为什么? 比如这个登录表单处理函数: handleSubmit = (event) => {...
- 1
回答
40浏览
如何在威胁建模中识别前端API的注入攻击风险?
最近在做威胁建模时发现前端调用的API可能存在注入攻击风险,但不确定该怎么具体分析。比如用第三方富文本库上传图片时,后台返回的Markdown内容直接渲染到页面,虽然加了输入过滤,但测试时发现特殊字符...
- 1
回答
33浏览
前端用Argon2哈希密码后,跨域请求被拦截怎么办?
我在前端用JavaScript调用Argon2对用户密码进行哈希处理,然后通过fetch发送到后端,但一直报错“Blocked by CORS policy: No 'Access-Control-A...
- 1
回答
214浏览
React登录限制如何防止频繁尝试导致接口被攻击?
我给登录表单加了防抖和错误次数限制,但测试时发现攻击者还是能不断重试,这是为什么? 现在用useState记录错误次数,超过3次就禁用按钮,还用了防抖处理: const Login = () =>...
- 2
回答
23浏览
设置Referrer-Policy后为什么请求头还是带Referer?
在Vue项目里设置了标签,但用axios发请求时发现Referer头还是包含了完整URL,是不是哪里设置错了? 代码是这样写的: <meta name="referrer" content="n...
- 2
回答
48浏览
Expect-CT头配置后为什么还是出现证书错误提示?
我在Vue项目里设置了Expect-CT头,但访问页面时还是弹出证书错误警告,搞不懂哪里出问题了。配置代码是这样写的: <nuxt> </nuxt> // 在nuxt.conf...
- 2
回答
39浏览
为什么设置了Access-Control-Allow-Origin却还是出现CORS错误?
我用Express写了后端API,设置了app.use(cors()),但前端调POST接口时还是报错“No 'Access-Control-Allow-Origin' header present”...
- 1
回答
10浏览
图片懒加载后为什么还是卡顿?
我在项目里用Intersection Observer做了图片懒加载,但页面滚动时还是卡顿,尝试过把换成标签并添加WebP格式,也调整了threshold到0.1,但效果不明显。代码结构是这样的: c...
- 1
回答
7浏览
React中使用FastClick为什么还是有300ms延迟?
我在React项目移动端按钮点击时还是有明显的300ms延迟,明明已经引入了FastClick。按照文档在componentDidMount里初始化了,但点击按钮还是有延迟,甚至有时候会触发两次事件....
问题出在这:前端代码是公开的,你生成的salt、hash流程全都能被看到。攻击者直接复制你的逻辑,预计算对应的彩虹表,弱密码像123456根本挡不住。就算你用了随机salt,只要算法暴露,照样能离线暴力撞库。
更别说你还想把salt存localStorage,那相当于把钥匙挂门把手上,谁拿到就能重放攻击。
正解是:前端只负责把明文密码发过去,别碰任何加密。后端用成熟的库处理,比如Node.js拿bcrypt.js,Python用passlib。后端生成随机salt,每个用户独立,bcrypt轮数拉高点,比如cost=12以上。
前端参与密码哈希纯属多此一举,还容易踩坑。拿去改改,全扔后端去。