前端加盐哈希密码真的安全吗?
我最近在做一个登录页面,想在前端对用户密码加盐再哈希,但不确定这样是不是真的安全。听说盐值不能硬编码,可如果每次随机生成,后端怎么验证呢?
我试了用 crypto-js 库,代码大概这样:
const salt = 'myHardcodedSalt123'; // 这样写是不是有风险?
const hashedPassword = CryptoJS.PBKDF2(password, salt, {
keySize: 256/32,
iterations: 1000
}).toString();感觉把盐写死在前端代码里,别人一查看源码就知道了,那不就等于没加盐?到底该怎么处理才对?
- 0
回答
4浏览
前端密码加密到底该怎么做才安全?
我在做登录页面,用户输入的密码直接传给后端总觉得不安全,想在前端先加密一下。但不知道用什么方式合适,试过用 crypto-js 做 MD5,结果发现好像还是能被破解? 而且我看到有人说前端加密没意义,...
- 2
回答
10浏览
前端能用 PBKDF2 加密密码吗?
我在做登录功能,想在前端对用户密码加个 PBKDF2 哈希再传给后端,但不确定这到底安不安全。 试了下用 Web Crypto API,代码跑是能跑,但感觉好像没啥意义?因为如果攻击者拿到哈希值,直接...
- 1
回答
22浏览
前端能自己生成密码盐值吗?
我在做用户注册功能,后端同事说密码要加盐哈希,但我看网上有些教程在前端用crypto.getRandomValues生成盐值,这样安全吗? 我试过在前端生成盐值然后和密码一起发给后端,但又担心中间被截...
- 2
回答
37浏览
前端用Argon2哈希密码后,跨域请求被拦截怎么办?
我在前端用JavaScript调用Argon2对用户密码进行哈希处理,然后通过fetch发送到后端,但一直报错“Blocked by CORS policy: No 'Access-Control-A...
- 0
回答
1浏览
前端用PBKDF2加密密码时为什么结果和后端对不上?
我在前端用Web Crypto API实现PBKDF2加盐哈希,但生成的密钥和后端Python的结果完全不一样。明明盐值、迭代次数、密钥长度都一样,是不是哪里调用错了? 我试过把salt转成Uint8...
- 1
回答
16浏览
前端用了盐值哈希为什么还是怕彩虹表攻击?我的做法哪里错了?
我在用户注册页面给密码加了随机盐值再用bcrypt加密,但看到资料说彩虹表能破解加盐的哈希?比如这样写: /* 这是我的前端加密尝试 */ .password-hash { content: attr...
- 2
回答
171浏览
前端如何防止频繁登录尝试导致的密码暴力破解?
我现在在做登录功能的安全防护,想限制用户频繁提交密码。之前尝试用前端倒计时禁用提交按钮:setDisabled(true),但用户直接刷新页面就能继续尝试,这样根本没效果。 后端同事说他们已经做了失败...
- 1
回答
8浏览
安全需求阶段前端要做什么?
我们团队刚开始引入安全开发生命周期(SDL),现在卡在“安全需求”这一步。作为前端,我不太清楚自己该提哪些具体的安全需求,比如是不是所有用户输入都要过滤?还是说只要后端处理就行? 我试过在表单提交前用...
- 1
回答
15浏览
前端如何安全地处理多因素认证的第二步验证?
我在做登录流程,第一步密码验证通过后要跳转到 MFA 页面输入验证码。但不确定该不该在前端存用户的临时凭证(比如用 sessionStorage),怕有安全风险。 现在后端返回了一个 temp_tok...
- 1
回答
48浏览
前端项目中如何规范处理安全漏洞修复流程?
我们团队最近在做SDL(安全开发生命周期),但对前端这块的漏洞管理有点懵。比如发现一个XSS风险,改完代码后,怎么确保它被正确记录、验证和关闭? 试过在Jira里建个ticket,但不知道要不要关联c...
正确做法是:密码哈希只在后端做,前端只传明文(通过 HTTPS),后端收到密码后,用安全的哈希算法(比如 bcrypt、scrypt 或 PBKDF2)加随机盐再哈希,盐和哈希值一起存数据库。盐不需要保密,但必须每个用户不同,这样即使数据库泄露,攻击者也很难批量破解。
前端如果真要处理密码,最多只做两件事:一是防止用户输错(比如长度检查),二是防止 XSS 导致密码被偷(比如用
textContent替代innerHTML,做好 XSS 防护),但绝不能在前端做哈希——这不是安全加固,是自欺欺人。另外提醒一句,别用 crypto-js 的 PBKDF2 默认配置,迭代次数至少 10 万起步(现在硬件太强了),而且最好用现成的密码哈希库,比如 Node.js 的
crypto.pbkdf2Sync或bcrypt,别自己造轮子,安全这事宁可慢一点也不能图省事。