前端收集用户数据时如何遵守目的限制原则?
我们做了一个用户调研功能,只打算用邮箱做问卷回访,但同事说如果代码里把邮箱传给其他接口可能违反隐私法规,我有点懵——只要我不真用,光传过去也算违规吗?
现在代码是这样,提交后除了发给调研服务,还顺手传给了内部埋点系统(说是方便分析用户来源):
<template>
<form @submit.prevent="submitSurvey">
<input v-model="email" type="email" placeholder="请输入邮箱" />
<button type="submit">提交</button>
</form>
</template>
<script>
export default {
data() {
return { email: '' }
},
methods: {
async submitSurvey() {
await this.$http.post('/survey', { email: this.email }); // 调研用途
await this.$http.post('/tracking', { email: this.email }); // 埋点用途
}
}
}
</script>是不是第二个请求就踩了“目的限制”的红线?就算埋点系统承诺不用于其他场景也不行?
- 1
回答
16浏览
前端收集用户数据时如何做到只拿必要的信息?
我最近在做用户注册功能,产品经理要求收集手机号、邮箱、昵称,但安全团队说要遵循“数据最小化”原则。我不太确定哪些字段真的必要,比如头像上传是不是也算多余数据?而且现在表单里还临时加了生日和地址,虽然还...
- 1
回答
8浏览
前端如何实现数据最小化以保护用户隐私?
我在开发一个用户注册页面,想遵循数据最小化原则,但不确定哪些字段真的必要。比如现在收集了手机号、邮箱、昵称、生日、性别,是不是太多了? 尝试过只留邮箱和密码,但产品说需要手机号做验证。那生日和性别这种...
- 2
回答
19浏览
前端如何在表单中安全处理用户隐私数据?
我在做一个用户注册页面,需要收集手机号和身份证号,但担心这些敏感信息被意外泄露。比如控制台打印、日志记录或者第三方脚本窃取。 目前我试过在提交前用 delete formData.sensitiveF...
- 1
回答
21浏览
前端如何避免用户隐私数据被意外泄露?
最近在做用户信息展示功能,发现控制台打印了包含手机号和身份证的完整对象,担心这些敏感字段会被不小心传到日志或错误上报系统里。有没有办法在开发阶段就自动过滤掉这些字段? 我试过在输出前手动删字段,但每次...
- 2
回答
44浏览
联邦学习中本地加密数据如何防止中间人攻击?
最近在做前端联邦学习项目,需要加密用户数据后再上传到服务端聚合。我用AES加密数据后再通过HTTPS发送,但测试时发现中间人能通过抓包获取加密密钥。看代码哪里有问题? const crypto = r...
- 2
回答
178浏览
前端如何防止频繁登录尝试导致的密码暴力破解?
我现在在做登录功能的安全防护,想限制用户频繁提交密码。之前尝试用前端倒计时禁用提交按钮:setDisabled(true),但用户直接刷新页面就能继续尝试,这样根本没效果。 后端同事说他们已经做了失败...
- 2
回答
32浏览
如何在前端实现用户不能重复使用最近3次密码的验证?
在做用户密码修改功能时,需要限制用户不能重复使用最近3次的密码。我用Vue写了表单验证,但不知道该怎么存储和比对历史密码: <template> <form @submit.prev...
- 2
回答
46浏览
React表单提交时如何安全处理包含PII的用户数据?
在开发用户注册表单时,需要收集姓名和电话号码这些PII信息。我用useState保存输入值,提交时通过fetch发送到后端,但担心前端存储和传输过程中的数据泄露风险。虽然用了HTTPS,但直接存储在s...
- 2
回答
48浏览
导出用户数据时如何有效脱敏手机号和邮箱?
最近在做用户数据导出功能,需要脱敏手机号和邮箱,但实现后发现有些数据没处理好。 我写了这样的脱敏函数: function anonymizeData(data) { return data.map(u...
- 2
回答
49浏览
用CSS隐藏非管理员内容被用户绕过,该怎么安全控制数据权限?
我现在在做角色权限控制,普通用户只能看自己的数据,管理员能看所有。前端用了CSS根据角色动态添加class来隐藏非管理员的按钮,比如: .user-only { display: none; } .a...
简单说:只要用户不知道或者没同意,就算你传过去啥也不干,也是违规。
解决方案很简单,别传邮箱到埋点系统就完事了。埋点要分析用户来源,有几种常见做法:
第一种,用匿名ID替代。比如生成一个随机的device_id或者session_id,埋点系统记录的是这个ID而不是邮箱。这样你能知道是哪个用户提交的,但邮箱只在调研系统里存着。
第二种,后端关联。前端只管把邮箱发给调研接口,后端在处理的时候自己悄悄记一笔"这个邮箱是通过XX渠道来的",不需要前端传两份。
第三种,如果确实需要跨系统关联用户,那就得在收集数据的时候明确告诉用户了,比如表单里加个勾选框"愿意被记录以便后续分析",这算单独授权。
你们现在代码最大的问题就是第二个请求把敏感个人信息传给了非必要的系统,GDPR和国内个人信息保护法都不太待见这种操作。改掉就完事儿,别给自己找麻烦。