不要再使用Math.random()生成随机数

·  阅读 8066

最近在使用SonarQube做代码质量评估时发现一个重要的警告提示信息,建议不要使用Math.random()生成随机数。

Math.random()生成的是伪随机数:

Math.random() 函数返回一个浮点数, 伪随机数在范围(0, 1), 其生成的不能提供像密码一样安全的随机数字(黑客可以计算出客户端生成的的随机数)。不要使用它们来处理有关安全的事情。使用Web Crypto API 来代替, 和更精确的window.crypto.getRandomValues() 方法.。

Math.random导致的信息安全漏洞

CVE-2013-6386
CVE-2006-3419
CVE-2008-4102

建议使用加密强伪随机数生成器:

// crypto需要考虑浏览器兼容
const crypto = window.crypto || window.webkitCrypto || window.mozCrypto || window.oCrypto || window.msCrypto;
crypto.getRandomValues(new Uint32Array(1));
复制代码

Crypto.getRandomValues() 方法让你可以获取符合密码学要求的安全的随机值。传入参数的数组被随机值填充(在加密意义上的随机)。

分类:
前端
标签:
分类:
前端
标签:
收藏成功!
已添加到「」, 点击更改