前端加密真能防抓包吗?为什么我加密了还是被看到明文?
最近在做登录功能,听说前端加密能防止密码被抓包看到,我就用 crypto-js 对密码做了 AES 加密再传给后端。但用 Charles 抓包一看,发现请求里的密文虽然看不懂,可我在浏览器控制台里随便打断点,就能看到原始密码变量,感觉根本没用啊?
是我加密方式不对,还是说前端加密本来就没意义?有没有真正安全的做法?
const encrypted = CryptoJS.AES.encrypt(password, 'my-secret-key').toString();
fetch('/login', {
method: 'POST',
body: JSON.stringify({ pwd: encrypted })
});- 2
回答
39浏览
前端AES加密后数据在传输时还是被拦截了怎么办?
在表单提交时用AES加密了用户密码,但用抓包工具还是能看到明文数据,这正常吗? 我按网上的教程用了crypto-js写了个加密方法: function encrypt(data) { return C...
- 1
回答
11浏览
缓存更新后用户还是看到旧数据怎么办?
我在做前端接口缓存,用的是 localStorage 存接口返回的数据。但后台数据更新后,用户刷新页面还是看到老内容,除非手动清缓存。有没有办法自动判断数据是否过期? 我试过加时间戳字段,比如 cac...
- 1
回答
27浏览
PBKDF2在前端加密密码真的安全吗?
我在做用户注册功能,看到后端用PBKDF2加盐哈希存密码。但我想在前端也先加密一次再传给后端,这样更安全吧? 可我试了用Web Crypto API的crypto.subtle.deriveKey,结...
- 2
回答
322浏览
为什么用AES加密后前端和后端的密文结果不一致?
我在给表单数据做AES加密时遇到奇怪的问题。用前端库加密后的密文,后端用同样的密钥解密总报错。之前用jsencrypt试过RSA没问题,换成AES-256-CBC后就乱了。 前端代码是这样的: con...
- 1
回答
20浏览
前端用了盐值哈希为什么还是怕彩虹表攻击?我的做法哪里错了?
我在用户注册页面给密码加了随机盐值再用bcrypt加密,但看到资料说彩虹表能破解加盐的哈希?比如这样写: /* 这是我的前端加密尝试 */ .password-hash { content: attr...
- 1
回答
15浏览
前端用 RSA 加密登录密码,为什么后端解密失败?
我在 React 项目里用 jsencrypt 做登录密码的 RSA 加密,本地测试加密看起来没问题,但传给 Java 后端后一直报“解密失败”或“BadPaddingException”。是不是公钥...
- 1
回答
21浏览
前端能直接加密用户密码吗?怎么保证安全?
我在做登录页面,想在前端把用户输入的密码加密后再传给后端,但不确定这样做是不是真的安全。试过用 crypto-js 做 SHA256 加密,但听说这样其实没用,因为密钥或算法暴露在前端,攻击者照样能还...
- 2
回答
19浏览
前端请求响应加密怎么做才安全?
我最近在做登录接口,后端要求所有请求和响应都要加密,但我试了 AES 加密后发现密钥放前端根本藏不住,这不等于白加密吗? 我看到有些项目用 HTTPS 就行了,但后端坚持要应用层再加密一层。有没有既安...
- 2
回答
39浏览
前端用 HMAC-SHA256 加密为什么结果和后端对不上?
我正在对接一个 API,要求用 HMAC-SHA256 对请求体签名,但前端算出来的 signature 和后端不一致,排查了一天没找到原因。 我用的是 CryptoJS,key 和 message ...
- 1
回答
28浏览
前端能用非对称加密直接加密用户密码吗?
我在做一个登录功能,想在前端用非对称加密把用户密码加密后再传给后端。但查资料发现大部分都说前端不适合做加密,可我不太理解为什么——既然有 RSA 这种算法,为啥不能直接用呢? 我试过用 crypto....
一般这样处理:首先,前端加密只是增加了一层混淆,不能依赖它来保证安全。真正的敏感数据应该在后端进行加密或签名。其次,可以考虑使用HTTPS来加密传输过程中的数据,防止中间人攻击。
至于你的代码,看起来没啥大问题,但关键是理解加密的局限性。你可以在后端进一步处理密码,比如加盐后再哈希存储。这样即使有人截获了密文,也很难破解出原始密码。
总之,前端加密不是银弹,要结合其他安全措施一起使用才行。