密码输入框最少8位,前端怎么限制才安全?
我正在做一个登录页,想在前端限制密码至少8位,但不确定光靠CSS或HTML能不能防住用户输太短的密码?比如下面这样写有效吗?
input[type="password"] {
min-length: 8; /* 这样写好像没用? */
}试了发现根本拦不住,用户照样能提交6位密码。是不是必须用JS校验?那CSS在这里能起什么作用?
- 2
回答
14浏览
前端密码加密到底该怎么做才安全?
我在做登录页面,用户输入的密码直接传给后端总觉得不安全,想在前端先加密一下。但不知道用什么方式合适,试过用 crypto-js 做 MD5,结果发现好像还是能被破解? 而且我看到有人说前端加密没意义,...
- 1
回答
7浏览
前端怎么校验密码强度才靠谱?
我在做用户注册页,想加个密码强度提示,但不确定怎么判断才算安全。试过只看长度,但用户输12345678也能过,这显然不行。 现在想结合大小写字母、数字和特殊字符,但不知道规则怎么定。比如下面这个正则:...
- 2
回答
25浏览
前端请求怎么加密才安全?
我在做登录功能,想把用户密码加密后再发给后端,但不知道该在前端怎么处理。试过用 crypto-js 的 AES 加密,但每次加密结果都不一样,后端解不出来。 这是我的 Vue 代码,是不是哪里写错了?...
- 2
回答
31浏览
前端加盐哈希密码真的安全吗?
我最近在做一个登录页面,想在前端对用户密码加盐再哈希,但不确定这样是不是真的安全。听说盐值不能硬编码,可如果每次随机生成,后端怎么验证呢? 我试了用 crypto-js 库,代码大概这样: const...
- 2
回答
178浏览
前端如何防止频繁登录尝试导致的密码暴力破解?
我现在在做登录功能的安全防护,想限制用户频繁提交密码。之前尝试用前端倒计时禁用提交按钮:setDisabled(true),但用户直接刷新页面就能继续尝试,这样根本没效果。 后端同事说他们已经做了失败...
- 1
回答
9浏览
前端能直接对用户密码做哈希吗?这样安全吗?
我最近在用 Vue 写一个登录页面,看到后端同事说密码要哈希存储,我就想能不能在前端先哈希再传给后端,省得传明文。但又听说这样其实不安全,有点懵。 我试了下用 crypto-js 在提交前处理密码,代...
- 1
回答
22浏览
Nginx 配置安全加固后网站打不开怎么办?
我按照网上教程给 Nginx 做了安全加固,加了一些 header 和限制,结果一 reload 服务,前端页面就完全打不开了,浏览器报 502 或空白。我只改了 server 块里的配置,没动其他地...
- 1
回答
19浏览
前端如何校验密码强度才安全?
我在做用户注册页面,想在前端实时提示密码强度,但不确定该用什么规则。现在只做了长度判断:password.length >= 8,但感觉不够安全。 看到有些网站要求包含大小写字母、数字和特殊字符...
- 2
回答
21浏览
前端能用 PBKDF2 加密密码吗?
我在做登录功能,想在前端对用户密码加个 PBKDF2 哈希再传给后端,但不确定这到底安不安全。 试了下用 Web Crypto API,代码跑是能跑,但感觉好像没啥意义?因为如果攻击者拿到哈希值,直接...
- 2
回答
18浏览
前端请求被限频了怎么办?怎么处理接口频率限制?
我最近在做登录功能,连续输错几次密码后,后端返回 429 Too Many Requests,但前端没做任何提示或限制。用户根本不知道要等多久才能再试,体验很差。我想在前端加个倒计时提示,但不确定该怎...
正确的做法是用HTML的minlength属性:
这样浏览器会自动阻止提交短于8位的密码,用户体验比纯JS好。
不过重点来了:前端限制纯粹是给用户添堵(bushi,是提升体验用的。恶意用户分分钟可以绕过前端验证直接发请求。后端必须再校验一次:
// 后端校验示例(Node.js)
if (password.length < 8) {
return res.status(400).json({ error: '密码至少8位' });
}
前端验证防君子不防小人,后端验证才是真安全。两个都得加,别偷懒。