前端加密时密钥到底该怎么安全存储?
我在做用户敏感数据的前端加密,用的是 AES,但密钥放哪儿都感觉不安全。放 localStorage 会被 XSS 拿走,写死在代码里又容易被反编译看到,这不就白加密了?
试过用环境变量 process.env.VUE_APP_SECRET_KEY,结果打包后还是明文出现在 JS 文件里。有没有真正靠谱的做法?或者是不是我理解错了前端加密的使用场景?
- 2
回答
45浏览
前端怎么安全地交换加密密钥?
我在做一个需要前端加密用户数据的功能,但卡在密钥交换这一步了。后端给的 API 返回一个公钥,我用 crypto.subtle.encrypt() 加密数据发过去,但每次刷新页面密钥就变了,没法解密之...
- 2
回答
60浏览
前端密码加密到底该怎么做才安全?
我在做登录页面,用户输入的密码直接传给后端总觉得不安全,想在前端先加密一下。但不知道用什么方式合适,试过用 crypto-js 做 MD5,结果发现好像还是能被破解? 而且我看到有人说前端加密没意义,...
- 2
回答
44浏览
前端加密时密钥怎么安全交换?
我最近在做用户敏感数据的前端加密,打算用 AES,但卡在密钥交换这一步了。后端生成的密钥直接通过 HTTPS 返回给前端,这样真的安全吗?会不会被中间人拿到? 我试过用 RSA 公钥加密 AES 密钥...
- 1
回答
64浏览
前端能直接加密用户密码吗?怎么保证安全?
我在做登录页面,想在前端把用户输入的密码加密后再传给后端,但不确定这样做是不是真的安全。试过用 crypto-js 做 SHA256 加密,但听说这样其实没用,因为密钥或算法暴露在前端,攻击者照样能还...
- 2
回答
45浏览
前端请求响应加密怎么做才安全?
我最近在做登录接口,后端要求所有请求和响应都要加密,但我试了 AES 加密后发现密钥放前端根本藏不住,这不等于白加密吗? 我看到有些项目用 HTTPS 就行了,但后端坚持要应用层再加密一层。有没有既安...
- 2
回答
57浏览
前端请求怎么加密才安全?
我在做登录功能,想把用户密码加密后再发给后端,但不知道该在前端怎么处理。试过用 crypto-js 的 AES 加密,但每次加密结果都不一样,后端解不出来。 这是我的 Vue 代码,是不是哪里写错了?...
- 2
回答
124浏览
前端用RSA加密时,私钥怎么安全传给后端不被窃取?
我在用RSA加密用户密码时遇到个难题,前端生成密钥对后,必须把私钥发给后端解密,但这样私钥不就暴露在请求里了吗?比如这段代码: const forge = require('node-forge');...
- 2
回答
110浏览
加密后的Cookie在前端怎么安全处理?
我在项目里给敏感数据用了AES加密存到Cookie,但前端JS需要解密后做验证。现在纠结的是,如果直接把密钥写在代码里,感觉太不安全了,试过用环境变量替换密钥,但发现只要反编译JS还是能找到,有没有更...
- 2
回答
184浏览
前端用WebSocket加密时,怎么安全交换密钥避免被中间人截获?
我在用WebSocket做实时通信时,想给消息加密,但卡在密钥交换环节。试过让客户端生成RSA密钥对,把公钥发给服务器,但发现握手时公钥是明文传输的,如果中间人截获公钥再伪造响应,不是照样能解密吗? ...
- 2
回答
50浏览
前端注册时怎么处理密码盐值才安全?
我最近在做用户注册功能,看到后端同事说密码要加盐哈希,但我搞不清盐值到底该谁生成、怎么传。我在前端直接生成随机盐拼到密码里再发过去,这样行不行?会不会有安全隐患? 比如我现在是这么做的: <fo...
通常我们会采用服务端加密的方式,前端只负责传输数据。如果必须在前端加密,可以考虑使用混合加密方案:先用对称加密(如AES)加密数据,再用非对称加密(如RSA)加密这个AES密钥,最后把加密后的密钥和数据一起发给后端。
具体来说,后端生成一对RSA公私钥,前端拿到公钥后,用它来加密随机生成的AES密钥。代码示例:
记住一点,永远不要尝试在前端保存敏感密钥。这不只是安全问题,更涉及到系统设计思路。前端加密更多是为了防止数据在网络传输过程中被窃取,而不是保护数据本身。
说到XSS防护,建议优先关注输入输出过滤这些基础工作,而不是纠结密钥存放位置。毕竟再好的加密也挡不住XSS攻击者的为所欲为。