前言:
为什么需要实现前端加密呢?
1. 在 HTTP 协议下,数据是明文传输,传输过程中网络嗅探可直接获取其中的数据。 如用户的密码和信用卡相关的资料,一旦被中间人获取,会给用户带来极大的安全隐患。另一方面,在非加密的传输过程中,攻击者可更改数据或插入恶意的代码等。HTTPS 的诞生就是为了解决中间人攻击的问题,但如今 HTTPS 的使用情况在国内并不乐观,基本是因为成本或者性能的考量
2. https协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。 而http不要钱
3.现在我们知道,http协议是明文传输,只要别人一抓包就可以获取到传输的报文,很多人会问,是不是http传输时前端都不需要进行数据加密了 呢? 这个观点是大大错误了,我们通过下边几点来分析一下,即便不安全也要加密的必要性
转自:https://zhuanlan.zhihu.com/p/22289839
4.HTTPS还是有很多问题。
①使用TLS会导致客户端和服务端的性能下降。这些性能瓶颈在IoT设备,RFID设备上较为明显。
②我们无法完全信任服务器
对于问题1,密码学家们正在争相设计更安全、更高效的密码学工具和协议以满足特定的需求。如果您没有在密码学领域有深入的研究,请不要在Socket上或者在HTTP上设计自己的加密协议来充当HTTPS。通常此行为是毫无意义的,因为稍加分析就能破解,正如题主所说"前端代码都是直接可以看到的"(即算法是公开的)
对于问题2,我们只保证了通讯的安全,并没有保证服务器端的安全,因为服务器的储存可能被攻陷。
我们储存在服务器上的数据,特别是用户认证信息怎么办?用户数据可以加密存储(可以考虑IND-CCA2安全的混合加密)。用户认证信息可以使用加盐(Salt)的密码散列函数(Cryptographic Hash Function)。
服务器窃取用户认证信息怎么办?可以考虑使用成熟的OAuth2方案。
服务器不正确的计算我想要的内容怎么办?等等更多,等你成为密码学家来研究吧!
转自:https://www.zhihu.com/question/25539382/answer/547509246
前端加密的情景:
1. 用户的登录信息。 (账号、密码。。。)
2. 用户的私密信息。(姓名、银行卡号、家庭住址。。。)
针对这2种数据,我们对加密的要求也是有所区别的,后者重要性稍弱了前者
只有转载链接:https://blog.csdn.net/ahilll/article/details/82459718
前端加密思路:
1.使用 https。 你甚至可以用https登陆,完事再重定向到http的页面,保证你页面加载的流畅性
2.JavaScript 加密后传输
3.浏览器插件内进行加密传输
4.Https 传输
前端加密的必要性?
1.HTTPS只保证通信过程的安全,不保证服务器上数据的隐秘性
2.在 HTTP 环境下,无论如何都可能会被劫持流量,不管前端做不做加密都会被轻易成功登录。这个时候保护密码明文是否有意义?有人站队前端加密无意义,考虑的是这个加密对本站的安全性没有任何提升;但如果你是从保护用户的角度出发,用户多站点共享密码是现状,你在没法改变这一点的情况下,如果能够保护密码明文,至少降低了一点该用户其他网站(即使是 HTTPS 的网站)被一锅端的风险。这怎么能说完全没有意义?
链接:https://www.zhihu.com/question/25539382/answer/148941136:
前端加密的意义:
密码在前端加密完全没有意义,对密码系统的安全性不会有任何提高,反而会引发不必要的麻烦。
首先,做前端开发的人需要知道,前端系统的控制权是完全在用户手里的,也就是说,前端做什么事情,用户有完全的控制权。
前端加密会带来什么问题:
1.有些人会认为前端进行了加密,可以降低后台的安全性需求,这种错误的观念会造成系统的安全漏洞。实际上,你不能对前端做任何的假设,所有跟安全相关的技术,都必须应用在后台上。
2.前端进行加密会造成页面需要js脚本才能运行,那么假设你的系统需要兼容不能运行js的客户端,就必须再设计一个使用原文的登录接口。
3.由于前端是不是加密,所有安全机制都必须照常应用,所以为系统增加这样的复杂性是完全没必要的,即使传输明文密码,只要正确使用了HTTPS连接和服务器端安全的哈希算法,密码系统都可以是很安全的。
转自:https://www.zhihu.com/question/25539382/answer/31178019
总结:看个人情况去实现前端加密吧,一般公司都不要求
参考链接:html前端几种加密方式的整理
注:以上内容均为方便个人学习所做的总结笔记,详情请看原链接,有好建议欢迎留言,后续继续补充。。