前端加密后存 localStorage 安全吗?
我最近在做用户敏感信息的本地存储,尝试用 CryptoJS 把数据 AES 加密后再存到 localStorage。但听说 localStorage 本身不安全,就算加密了也可能被 XSS 拿到密钥?
我现在是这样加密的:
const encrypted = CryptoJS.AES.encrypt(data, 'my-secret-key').toString();
localStorage.setItem('user', encrypted);但感觉密钥写死在前端代码里根本没用啊,是不是换个方式更好?比如结合后端动态下发密钥?
- 1
回答
46浏览
前端加密时密钥到底该怎么安全存储?
我在做用户敏感数据的前端加密,用的是 AES,但密钥放哪儿都感觉不安全。放 localStorage 会被 XSS 拿走,写死在代码里又容易被反编译看到,这不就白加密了? 试过用环境变量 proces...
- 2
回答
76浏览
前端用localStorage存Refresh Token被恶意调用,怎么防?
我在项目里用JWT方案,把Refresh Token存在localStorage里,但测试时发现如果前端页面被XSS攻击,Refresh Token会被直接窃取。虽然Access Token设置了短时...
- 1
回答
57浏览
LocalStorage 存敏感信息会被窃取吗?
我在做移动端登录功能,把 token 存在 LocalStorage 里,但听说这样不安全,容易被 XSS 攻击偷走? 现在页面里确实有动态插入用户内容的地方,比如评论区。我试过改用 sessionS...
- 1
回答
50浏览
Token 存 localStorage 安全吗?为什么登录后还能被 CSRF 攻击?
我最近在做登录功能,后端返回的 token 我直接存到了 localStorage 里,每次请求手动加到 Authorization 头。但听说这样容易被 XSS 拿走,而且好像还是防不住 CSRF?...
- 1
回答
79浏览
移动端用 LocalStorage 存用户信息安全吗?
我最近在做一个移动端的 Vue 项目,登录后把用户 token 和一些基本信息存到了 LocalStorage 里,方便页面刷新后还能保持登录状态。但听说 LocalStorage 很容易被 XSS ...
- 2
回答
34浏览
前端存 Access Token 到底该用 localStorage 还是 cookie?
最近在做登录功能,后端返回了 Access Token,但我不确定该存在哪。听说 localStorage 容易被 XSS 攻击,但用 cookie 又怕 CSRF,到底怎么选才安全? 我试过把 to...
- 2
回答
65浏览
Access Token 存储在 LocalStorage 安全吗?遇到跨域请求被泄露怎么办?
我在做用户登录功能时把 Access Token 放在了 LocalStorage,但测试跨域请求时突然出现错误:“Failed to load resource: Preflight respons...
- 1
回答
37浏览
localStorage 存对象为什么取出来变成字符串了?
我用 localStorage.setItem('user', {name: '小明', age: 18}) 存了个对象,结果下次读的时候发现拿到的是 "[object Object]",根本没法用。...
- 1
回答
52浏览
前端能直接加密用户密码吗?怎么保证安全?
我在做登录页面,想在前端把用户输入的密码加密后再传给后端,但不确定这样做是不是真的安全。试过用 crypto-js 做 SHA256 加密,但听说这样其实没用,因为密钥或算法暴露在前端,攻击者照样能还...
- 2
回答
44浏览
PBKDF2在前端加密密码真的安全吗?
我在做用户注册功能,看到后端用PBKDF2加盐哈希存密码。但我想在前端也先加密一次再传给后端,这样更安全吧? 可我试了用Web Crypto API的crypto.subtle.deriveKey,结...
可以试试这样改进:
1. 密钥千万别硬编码在前端,让后端每次登录时动态生成一个临时密钥给你,存到 sessionStorage(关闭页面就消失)
2. 加密前加点盐值(salt),像这样:
3. 最好配合 HttpOnly 的 cookie 一起用,双重验证更安全
不过说真的,敏感信息能不放本地就别放。我之前有个项目被安全团队骂惨了,最后改成:前端只存 token,敏感数据每次都用 token 去后端现查。虽然麻烦点,但睡得着觉啊!