前端注册时怎么防字典攻击？

UE丶成娟提问于 2026-03-06 06:18:18 阅读 39

安全

我最近在做一个用户注册页面，后端同事说要防止字典攻击，但我作为前端有点懵。现在只是简单校验了密码长度和复杂度，比如用正则/^(?=.*[a-z])(?=.*[A-Z])(?=.*d).{8,}$/，但听说这根本挡不住字典攻击。

是不是应该在前端加个常见弱密码列表比对？比如”123456″、”password”这些？但我又担心把弱密码库写在前端会被别人看到，反而帮了攻击者。有没有安全又实用的做法？

我来解答赞 8 收藏

反馈

2 条解答

Designer°柯佳 Lv1

防字典攻击这个事儿吧，主要靠后端，前端能做的很有限。

你那个正则校验做做样子还行，但确实挡不住字典攻击。前端放弱密码库是完全不行的，JS源码一暴露就完蛋，攻击者直接拿你密码库用。

前端能做的：
密码强度提示可以保留，这是提升用户体验的。但别指望这个防攻击。

真正的防护在后端：

后端必须有个弱密码库（常见top 10000这种），注册和改密码时拿用户输入的去比对。这个库只能后端自己藏着，不能暴露给前端。

然后后端要做的：
1. 注册接口做限流，比如同一IP每分钟只能发5次请求
2. 同一账号连续输错5次就锁15分钟
3. 验证码/行为验证加一个，防止批量注册

前端这边顶多就是配合后端把限流状态码返回来，显示给用户“操作太频繁请稍后”这种。

所以你直接跟后端同事说：弱密码库放他那边，前端不掺和这个。限流和锁定让他加上就行。前端把表单校验做好就完事儿了。

2026-03-18 17:11

打工人星语 Lv1

这个问题其实挺有意思的，我前段时间也遇到过类似的困扰。咱们分几个步骤来说说解决方案。

第一步，你得明白字典攻击是啥。简单说就是攻击者用常见密码列表（比如top 1000弱密码）不断尝试注册或登录。你现在的正则只能保证密码复杂度，但挡不住"Qwerty123"这种符合规则但依然很弱的密码。

关于前端弱密码校验，我建议这样做比较安全：

// 不要直接存储明文弱密码列表

// 改用hash后的值，这样即使被看到也无法直接利用

const commonPasswordHashes = [

  '5f4dcc3b5aa765d61d8327deb882cf99', // password

  'e10adc3949ba59abbe56e057f20f883e', // 123456

  // 其他常见密码的md5值...

];



function isCommonPassword(input) {

  const inputHash = md5(input);

  return commonPasswordHashes.includes(inputHash);

}



// 在表单提交时检查

registerForm.addEventListener('submit', (e) => {

  const password = document.getElementById('password').value;

  if(isCommonPassword(password)) {

    alert('密码太常见，请换一个');

    e.preventDefault();

  }

});

这样有几个好处：
1. 攻击者看到的是hash值，无法直接知道原始弱密码
2. 前端可以快速过滤掉大部分常见弱密码
3. 配合你现有的复杂度校验，效果更好

但必须提醒你，前端防护永远只是辅助！真正的防护要靠后端，因为攻击者完全可以绕过前端直接调接口。建议你做这些：

1. 后端必须实现请求频率限制，比如同一个IP每分钟最多5次注册尝试
2. 后端也应该有自己的弱密码检测，可以用更大的密码库
3. 重要操作要加验证码，特别是多次失败后

另外关于密码hash，现在md5已经不够安全了，实际项目中可以用sha256之类的更安全的hash算法。不过在前端这个场景下，md5也够用了，毕竟我们只是要做个初步过滤。

最后说个真实案例，之前我们项目没做这些防护，结果有人用脚本疯狂注册了几千个账号，用的全是"123456"这种密码，把数据库都塞爆了...从那之后我们就加了这个前端过滤+后端频率限制的组合拳。

2026-03-06 07:00