前端能直接加密用户密码吗?怎么保证安全?
我在做登录页面,想在前端把用户输入的密码加密后再传给后端,但不确定这样做是不是真的安全。试过用 crypto-js 做 SHA256 加密,但听说这样其实没用,因为密钥或算法暴露在前端,攻击者照样能还原?
现在有点懵,到底该不该在前端加密敏感信息?如果要加密,正确的做法是啥?比如是不是必须配合 HTTPS?有没有必要加盐?
import sha256 from 'crypto-js/sha256';
const hashedPassword = sha256(password).toString();
// 然后发给后端...
- 2
回答
16浏览
前端密码加密到底该怎么做才安全?
我在做登录页面,用户输入的密码直接传给后端总觉得不安全,想在前端先加密一下。但不知道用什么方式合适,试过用 crypto-js 做 MD5,结果发现好像还是能被破解? 而且我看到有人说前端加密没意义,...
- 1
回答
16浏览
PBKDF2在前端加密密码真的安全吗?
我在做用户注册功能,看到后端用PBKDF2加盐哈希存密码。但我想在前端也先加密一次再传给后端,这样更安全吧? 可我试了用Web Crypto API的crypto.subtle.deriveKey,结...
- 1
回答
11浏览
前端用 SHA-256 加密用户密码真的安全吗?
我最近在做一个登录页面,想在前端用 SHA-256 对用户密码做哈希后再传给后端,但听说这样其实不安全? 我试了用 Web Crypto API 做哈希,代码大概长这样: async function...
- 1
回答
22浏览
前端能用非对称加密直接加密用户密码吗?
我在做一个登录功能,想在前端用非对称加密把用户密码加密后再传给后端。但查资料发现大部分都说前端不适合做加密,可我不太理解为什么——既然有 RSA 这种算法,为啥不能直接用呢? 我试过用 crypto....
- 2
回答
28浏览
前端请求怎么加密才安全?
我在做登录功能,想把用户密码加密后再发给后端,但不知道该在前端怎么处理。试过用 crypto-js 的 AES 加密,但每次加密结果都不一样,后端解不出来。 这是我的 Vue 代码,是不是哪里写错了?...
- 1
回答
18浏览
前端加密时密钥怎么安全交换?
我最近在做用户敏感数据的前端加密,打算用 AES,但卡在密钥交换这一步了。后端生成的密钥直接通过 HTTPS 返回给前端,这样真的安全吗?会不会被中间人拿到? 我试过用 RSA 公钥加密 AES 密钥...
- 2
回答
99浏览
前端用RSA加密时,私钥怎么安全传给后端不被窃取?
我在用RSA加密用户密码时遇到个难题,前端生成密钥对后,必须把私钥发给后端解密,但这样私钥不就暴露在请求里了吗?比如这段代码: const forge = require('node-forge');...
- 1
回答
68浏览
前端项目里怎么用Fuzzing测试输入框的安全性?
我最近在学安全开发生命周期,看到Fuzzing能用来测输入漏洞,但不太清楚前端怎么实际用。比如一个用户注册页面的邮箱输入框,我想自动喂各种奇怪字符串看会不会出问题,该怎么做? 试过手动复制一些payl...
- 2
回答
55浏览
前端密码强度校验怎么写才靠谱?
我在做登录注册页的密码策略,想让用户设置强密码,但不确定校验逻辑怎么写才安全又不烦人。试了下正则,但总觉得漏了什么。 比如下面这段代码,只检查了长度和是否包含数字,但好像没考虑大小写字母和特殊字符?而...
- 1
回答
18浏览
密码输入框最少8位,前端怎么限制才安全?
我正在做一个登录页,想在前端限制密码至少8位,但不确定光靠CSS或HTML能不能防住用户输太短的密码?比如下面这样写有效吗? input[type="password"] { min-length: ...
