最近在使用SonarQube做代码质量评估时发现一个重要的警告提示信息,建议不要使用Math.random()生成随机数。
Math.random()生成的是伪随机数:
Math.random() 函数返回一个浮点数, 伪随机数在范围(0, 1), 其生成的不能提供像密码一样安全的随机数字(黑客可以计算出客户端生成的的随机数)。不要使用它们来处理有关安全的事情。使用Web Crypto API 来代替, 和更精确的window.crypto.getRandomValues() 方法.。
Math.random导致的信息安全漏洞
建议使用加密强伪随机数生成器:
// crypto需要考虑浏览器兼容
const crypto = window.crypto || window.webkitCrypto || window.mozCrypto || window.oCrypto || window.msCrypto;
crypto.getRandomValues(new Uint32Array(1))[0];
Crypto.getRandomValues() 方法让你可以获取符合密码学要求的安全的随机值。传入参数的数组被随机值填充(在加密意义上的随机)。
今天的文章不要再使用Math.random()生成随机数分享到此就结束了,感谢您的阅读。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/17795.html
