前端能直接对用户密码做哈希吗?这样安全吗?
我最近在用 Vue 写一个登录页面,看到后端同事说密码要哈希存储,我就想能不能在前端先哈希再传给后端,省得传明文。但又听说这样其实不安全,有点懵。
我试了下用 crypto-js 在提交前处理密码,代码大概是这样:
<template>
<input v-model="password" type="password" />
<button @click="login">登录</button>
</template>
<script>
import CryptoJS from 'crypto-js'
export default {
data() { return { password: '' } },
methods: {
login() {
const hashed = CryptoJS.SHA256(this.password).toString()
// 发送 hashed 给后端
}
}
}
</script>但这样真的安全吗?会不会反而有风险?
- 1
回答
30浏览
前端加盐哈希密码真的安全吗?
我最近在做一个登录页面,想在前端对用户密码加盐再哈希,但不确定这样是不是真的安全。听说盐值不能硬编码,可如果每次随机生成,后端怎么验证呢? 我试了用 crypto-js 库,代码大概这样: const...
- 1
回答
14浏览
前端密码加密到底该怎么做才安全?
我在做登录页面,用户输入的密码直接传给后端总觉得不安全,想在前端先加密一下。但不知道用什么方式合适,试过用 crypto-js 做 MD5,结果发现好像还是能被破解? 而且我看到有人说前端加密没意义,...
- 2
回答
20浏览
前端能用 PBKDF2 加密密码吗?
我在做登录功能,想在前端对用户密码加个 PBKDF2 哈希再传给后端,但不确定这到底安不安全。 试了下用 Web Crypto API,代码跑是能跑,但感觉好像没啥意义?因为如果攻击者拿到哈希值,直接...
- 2
回答
42浏览
前端用Argon2哈希密码后,跨域请求被拦截怎么办?
我在前端用JavaScript调用Argon2对用户密码进行哈希处理,然后通过fetch发送到后端,但一直报错“Blocked by CORS policy: No 'Access-Control-A...
- 1
回答
17浏览
前端如何校验密码强度才安全?
我在做用户注册页面,想在前端实时提示密码强度,但不确定该用什么规则。现在只做了长度判断:password.length >= 8,但感觉不够安全。 看到有些网站要求包含大小写字母、数字和特殊字符...
- 1
回答
31浏览
前端如何安全地处理用户输入避免XSS攻击?
我在做一个评论功能,用户提交的内容直接用 innerHTML 插入到页面,结果被安全扫描工具报了 XSS 风险。我试过用 DOMPurify,但不确定是不是用对了,比如下面这样写安全吗? const ...
- 2
回答
30浏览
BFF 层怎么处理用户认证状态?前端该直接调用 BFF 还是 Auth 服务?
我们项目刚引入 BFF,现在搞不清楚用户登录状态该在哪一层处理。之前是前端直接请求 Auth 服务拿 token,现在加了 BFF 后,是不是应该让 BFF 去代理认证请求? 我试过在 React 组...
- 1
回答
29浏览
前端能自己生成密码盐值吗?
我在做用户注册功能,后端同事说密码要加盐哈希,但我看网上有些教程在前端用crypto.getRandomValues生成盐值,这样安全吗? 我试过在前端生成盐值然后和密码一起发给后端,但又担心中间被截...
- 1
回答
21浏览
前端做威胁建模时,用户输入直接渲染到页面会不会有XSS风险?
我最近在学安全开发生命周期,尝试给一个简单的评论功能做威胁建模。我发现用户提交的评论内容会直接通过 innerHTML 插入到页面里,虽然现在只是本地测试,但总觉得这样不安全。我试过用 DOMPuri...
- 1
回答
17浏览
前端用了盐值哈希为什么还是怕彩虹表攻击?我的做法哪里错了?
我在用户注册页面给密码加了随机盐值再用bcrypt加密,但看到资料说彩虹表能破解加盐的哈希?比如这样写: /* 这是我的前端加密尝试 */ .password-hash { content: attr...
你现在的做法在前端做SHA256哈希,比传明文确实好一点,但有几个坑要注意:
1. 这样只是把密码变成了固定长度的哈希值,本质上还是相当于在传"密码",黑客拿到这个哈希值可以直接用来登录(这叫pass the hash攻击)
2. 如果没上HTTPS,中间人攻击照样能拿到你的哈希值
更安全的做法一般是:
前端传明文密码(必须用HTTPS),后端加盐再做哈希存储。因为后端可以做到:
- 每个用户用不同的盐值
- 使用专门设计的慢哈希算法(如bcrypt、PBKDF2)
- 可以灵活调整哈希强度
如果实在想在前端处理,至少应该:
1. 和后端约定好加盐方式(比如固定盐值+用户名)
2. 一定要配合HTTPS使用
3. 明确这只是二次防护,后端还是要做正规哈希
代码可以改成这样:
不过说实话,大厂现在基本都是直接传明文+HTTPS,把安全问题交给后端处理。前端搞哈希容易画蛇添足,除非有特殊需求。