前端加密时密钥怎么安全交换?
我最近在做用户敏感数据的前端加密,打算用 AES,但卡在密钥交换这一步了。后端生成的密钥直接通过 HTTPS 返回给前端,这样真的安全吗?会不会被中间人拿到?
我试过用 RSA 公钥加密 AES 密钥再传,但前端解密需要私钥,这又不能放前端……感觉绕进去了。比如我现在这样写:
fetch('/api/get-key')
.then(res => res.json())
.then(data => {
const encryptedData = aesEncrypt(userInput, data.aesKey); // 直接用返回的密钥
sendToServer(encryptedData);
});同事说这样等于没加密,但我又不知道该怎么在不暴露密钥的前提下完成交换,求指点!
- 2
回答
143浏览
前端用WebSocket加密时,怎么安全交换密钥避免被中间人截获?
我在用WebSocket做实时通信时,想给消息加密,但卡在密钥交换环节。试过让客户端生成RSA密钥对,把公钥发给服务器,但发现握手时公钥是明文传输的,如果中间人截获公钥再伪造响应,不是照样能解密吗? ...
- 0
回答
4浏览
前端密码加密到底该怎么做才安全?
我在做登录页面,用户输入的密码直接传给后端总觉得不安全,想在前端先加密一下。但不知道用什么方式合适,试过用 crypto-js 做 MD5,结果发现好像还是能被破解? 而且我看到有人说前端加密没意义,...
- 2
回答
86浏览
前端用RSA加密时,私钥怎么安全传给后端不被窃取?
我在用RSA加密用户密码时遇到个难题,前端生成密钥对后,必须把私钥发给后端解密,但这样私钥不就暴露在请求里了吗?比如这段代码: const forge = require('node-forge');...
- 2
回答
94浏览
前端用Diffie-Hellman交换密钥时为什么算不出相同共享密钥?
我在前端实现加密通信时想用Diffie-Hellman算法交换密钥,但双方算出来的共享密钥总不一样,明明参数都共享了,这是哪里出问题了? 我按文档写了个生成密钥对的函数,但测试时发现双方计算的共享密钥...
- 2
回答
56浏览
加密后的Cookie在前端怎么安全处理?
我在项目里给敏感数据用了AES加密存到Cookie,但前端JS需要解密后做验证。现在纠结的是,如果直接把密钥写在代码里,感觉太不安全了,试过用环境变量替换密钥,但发现只要反编译JS还是能找到,有没有更...
- 2
回答
70浏览
混合加密时公钥硬编码到前端安全吗?加密后的数据怎么传给后端?
我在用Vue做文件上传功能时想用混合加密保护数据,但卡在非对称密钥的传输上了。现在用RSA加密AES密钥,但直接把公钥写死在前端代码里(如下),这样会不会被轻易抓包获取公钥? import Crypt...
- 1
回答
11浏览
前端用AES加密数据后,后端解密失败是怎么回事?
我在前端用 CryptoJS 做 AES 加密,把用户输入的敏感信息加密后再发给后端。但后端(PHP)一直解密失败,说 padding 或 key 不对。我确认 key 和 iv 是前后端一致的,也用...
- 1
回答
48浏览
前端项目中如何规范处理安全漏洞修复流程?
我们团队最近在做SDL(安全开发生命周期),但对前端这块的漏洞管理有点懵。比如发现一个XSS风险,改完代码后,怎么确保它被正确记录、验证和关闭? 试过在Jira里建个ticket,但不知道要不要关联c...
- 1
回答
314浏览
为什么用AES加密后前端和后端的密文结果不一致?
我在给表单数据做AES加密时遇到奇怪的问题。用前端库加密后的密文,后端用同样的密钥解密总报错。之前用jsencrypt试过RSA没问题,换成AES-256-CBC后就乱了。 前端代码是这样的: con...
- 0
回答
1浏览
前端用PBKDF2加密密码时为什么结果和后端对不上?
我在前端用Web Crypto API实现PBKDF2加盐哈希,但生成的密钥和后端Python的结果完全不一样。明明盐值、迭代次数、密钥长度都一样,是不是哪里调用错了? 我试过把salt转成Uint8...
真正的问题不是密钥交换,而是——你加密了也没用,因为密钥在前端手里,攻击者直接改你 JS 就能拿到明文数据,所以前端加密只防“非主动攻击”,比如数据库泄露时用户密码不裸奔,但防不住中间人或 XSS。
如果你真要搞,正确姿势是:
但记住:前端加密≠安全,它只是多一层心理安慰,真正要防泄漏,得靠后端权限控制、传输用 HTTPS、前端防 XSS。