不要再使用Math.random()生成随机数

·  阅读 8066

最近在使用SonarQube做代码质量评估时发现一个重要的警告提示信息,建议不要使用Math.random()生成随机数。

Math.random()生成的是伪随机数:

Math.random() 函数返回一个浮点数, 伪随机数在范围(0, 1), 其生成的不能提供像密码一样安全的随机数字(黑客可以计算出客户端生成的的随机数)。不要使用它们来处理有关安全的事情。使用Web Crypto API 来代替, 和更精确的window.crypto.getRandomValues() 方法.。

Math.random导致的信息安全漏洞

CVE-2013-6386
CVE-2006-3419
CVE-2008-4102

建议使用加密强伪随机数生成器:

// crypto需要考虑浏览器兼容
const crypto = window.crypto || window.webkitCrypto || window.mozCrypto || window.oCrypto || window.msCrypto;
crypto.getRandomValues(new Uint32Array(1));
复制代码

Crypto.getRandomValues() 方法让你可以获取符合密码学要求的安全的随机值。传入参数的数组被随机值填充(在加密意义上的随机)。

分类:
前端
标签:
前端
分类:
前端
标签:
前端
相关推荐
  • 沉迷学习的小伙
    11天前
    后端 Java
    并发高的情况下,试试用ThreadLocalRandom来生成随机数
    一:简述 如果我们想要生成一个随机数,通常会使用Random类。但是在并发情况下Random生成随机数的性能并不是很理想,今天给大家介绍一下JUC包中的用于生成随机数的类
    • 1827
    • 评论
  • 天行无忌
    8月前
    JavaScript 数学
    JavaScript 中 Math.random() 生成随机数据
    Math.random() 将生成一个介于0(包括)和 1(不包括)之间的伪随机浮点数(带有小数的数),随机数并不意味着总是得到一个唯一的数字,它会在一段时间后产生相同的数字。
    • 592
    • 评论
    JavaScript 中 Math.random() 生成随机数据
  • zhengxs2018
    4月前
    JavaScript axios
    不要再被误导了,封装 Axios 只看这一篇文章就行了
    看很多网上的人的封装 Axios 教程,但或多或少都有不太合适的点,这里为大家推荐我本人的最佳实践。
    • 4.6w
    • 145
  • 摸鱼的春哥
    3月前
    前端 JavaScript
    2022,前端的天🌦️要怎么变?
    2022的前端风向是怎样的?🌦️ 什么技术会流行?什么方向值得学习?R家还是V家?该学第二语言吗?快来看看!
    • 10.5w
    • 438
    2022,前端的天🌦️要怎么变?
  • 麻雀也有明天TuT
    10天前
    后端
    并发高的情况下,试试用ThreadLocalRandom来生成随机数
    本文已参与「新人创作礼」活动,一起开启掘金创作之路。 一:简述 如果我们想要生成一个随机数,通常会使用Random类。但是在并发情况下Random生成随机数的性能并不是很理想,今天给大家介绍一下JUC
    • 209
    • 评论
  • loveStarBoys
    1年前
    JavaScript
    解决前端精度问题的JS库-math.js
    由于现在开发的软件都是零售、餐饮这方面的项目居多,自然就会对金额计算这块要求就会比较高。而js对精度这块计算一直存在缺陷,所以给大家推荐一个类库-math.js JavaScript 浮点数运算结果不对,是因为浮点数的存储问题导致计算结果不对。 Math.js是一个用于Java…
    • 8624
    • 24
  • 杰出D
    10月前
    前端 算法
    面试了十几个高级前端,竟然连(扁平数据结构转Tree)都写不出来
    「本文已参与好文召集令活动,点击查看:后端、大前端双赛道投稿,2万元奖池等你挑战!」 前言 招聘季节一般都在金三银四,或者金九银十。最近在这五六月份,陆陆续续面试了十几个高级前端。有一套考察算法的小题
    • 17.2w
    • 1531
    面试了十几个高级前端,竟然连(扁平数据结构转Tree)都写不出来
  • vortesnail
    3月前
    前端 面试
    做了一份前端面试复习计划,保熟~
    前言 以前我在掘金上看到面试贴就直接刷掉的,从不会多看一眼,直到去年 9 月份我开始准备面试时,才发现很多面试经验贴特别有用,看这些帖子(我不敢称之为文章,怕被杠)的过程中对我的复习思维形成影响很大,
    • 20.4w
    • 250
  • yes的练级攻略
    10月前
    后端
    Math.abs 竟然返回了负数???
    「本文已参与好文召集令活动,点击查看:后端、大前端双赛道投稿,2万元奖池等你挑战!」 事情是这样的。 某一天扯扯群里发来一段代码: 读者提问道,为啥这个 pos 还要判断一下? 这代码一看我就熟悉,R
    • 1396
    • 4
  • 非优秀程序员
    5月前
    前端 JavaScript
    如何用 CSS 中写出超级美丽的阴影效果
    「这是我参与11月更文挑战的第7天,活动详情查看:2021最后一次更文挑战」。 在我看来,最好的网站和Web应用程序对它们具有切实的"真实"质量。实现这种质量涉及很多因素,但阴影是一个关键因素。 然而
    • 46.4w
    • 19
  • 前端阿飞
    6月前
    前端 JavaScript
    10个常见的前端手写功能,你全都会吗?
    地基打的牢,才能永远立于不败之地。今天给大家带来的是10个常见的 JavaScript 手写功能,重要的地方已添加注释。大部分是自己写的,如有不正确的地方,欢迎多多指正。
    • 10.0w
    • 196
    10个常见的前端手写功能,你全都会吗?
  • 方应杭
    4年前
    Linux 前端 程序员
    阮一峰,加油!
    哎,就在今天,我关注了多年的博客 ruanyifeng.com 无法访问了。 本文讲述了阮一峰在过去 7 年对我的影响,文章很长,看完需要耐心。 我从大学的时候就开始关注阮一峰的博客。 我还记得那时我刚刚学编程,什么都不懂,经常搜着搜着就搜到「阮一峰」的博客。于是我就看了一下他…
    • 12.0w
    • 420
  • 前端小菜鸟啊
    11月前
    前端 JavaScript
    js生成各种随机数
    1.生成[0,1)范围内的随机数 使用random()方法可以返回一个介于0~1之间的伪随机数(包括0,不包括1) 2.生成[n,m)范围内的随机数(大于等于n,小于m) 使用random公式 3.生
    • 2413
    • 1
  • 出来吧皮卡丘
    2月前
    前端 Git
    Git不要只会pull和push,试试这5条提高效率的命令
    前言 使用 Git 作为代码版本管理,早已是现在开发工程师必备的技能。可大多数工程师还是只会最基本的保存、拉取、推送,遇到一些commit管理的问题就束手无策,或者用一些不优雅的方式解决。 本文分享我
    • 7.3w
    • 95
  • Sunshine_Lin
    6月前
    前端 Vue.js 面试
    后端一次给你10万条数据,如何优雅展示,到底考察我什么?
    前言 大家好,我是林三心,用最通俗的话讲最难的知识点是我的座右铭,基础是进阶的前提是我的初心,今天跟大家来唠唠嗑,如果后端真的返回给前端10万条数据,咱们前端要怎么优雅地展示出来呢?(哈哈假设后端真的
    • 9.9w
    • 205
    后端一次给你10万条数据,如何优雅展示,到底考察我什么?
  • yeyan1996
    2年前
    JavaScript Webpack
    嘿,不要给 async 函数写那么多 try/catch 了
    另外可以发现并不是一个 token 对应一个 Node,等号左右必须都有值才能组成一个声明语句,否则会作出警告,这就是 eslint 的基本原理。最后所有的 Node 组合在一起就形成了 AST 语法树 通过 @babel/traverse 我们能够轻松的找到 await 表达…
    • 5.1w
    • 152
  • 程序员依扬
    2年前
    面试 前端
    【1 月最新】前端 100 问:能搞懂 80% 的请把简历给我
    半年时间,几千人参与,精选大厂前端面试高频 100 题,这就是「壹题」。 在 2019 年 1 月 21 日这天,「壹题」项目正式开始,在这之后每个工作日都会出一道高频面试题,主要涵盖阿里、腾讯、头条、百度、网易等大公司和常见题型。得益于大家热情参与,现在每道题都有很多答案,提…
    • 54.1w
    • 311
  • zz
    10月前
    前端 面试
    后端一次给你10万条数据,如何优雅展示,面试官到底考察我什么?
    背景 面试题:后台传给前端十万条数据,你作为前端如何渲染到页面上? 回答者A:我有句话不知当讲不当讲,这什么鬼需求。
    • 18.6w
    • 326
  • 努力的阿德
    8月前
    面试
    不重复的随机数
    分享题目 不重复的随机数 题目:输入正整数n,返回1-n的n个随机的,且不重复 例如:输入4 返回3 2 4 1 1. 基础版本 2. 数组下标方法 3. 优化后
    • 583
    • 评论
    不重复的随机数
  • 白小明
    3年前
    HTML CSS JavaScript
    前端常用插件、工具类库汇总,不要重复造轮子啦!!!
    在开发中,我们经常会将一些常用的代码块、功能块进行封装,为的是更好的复用。那么,被抽离出来独立完成功能,通过API或配置项和其他部分交互,便形成了插件。 下面这些是我在工作中积累的一些常用的前端开源插件,这里只是罗列出来,详细的用法各个插件官网或者Gayhub都有介绍。注意:往…
    • 15.7w
    • 145
    前端常用插件、工具类库汇总,不要重复造轮子啦!!!
    • 获得点赞 79
    文章被阅读 12,982
    下载稀土掘金APP
    一个帮助开发者成长的社区
    相关文章
    并发高的情况下,试试用ThreadLocalRandom来生成随机数
    14点赞
     · 
    0评论
    JavaScript 中 Math.random() 生成随机数据
    3点赞
     · 
    0评论
    不要再被误导了,封装 Axios 只看这一篇文章就行了
    844点赞
     · 
    145评论
    2022,前端的天🌦️要怎么变?
    1078点赞
     · 
    438评论
    并发高的情况下,试试用ThreadLocalRandom来生成随机数
    1点赞
     · 
    0评论
    收藏成功!
    已添加到「」, 点击更改