bug：进行安全漏洞扫描被报Insecure Randomness：标准的伪随机数值生成器不能抵挡各种加密攻击。

背景：

使用了Math.random()被安全漏洞扫描出high等级的漏洞。尽管我用了Math.random()后，再用了一些手段处理这个随机数，还是被安全漏洞报警。

由于 Math.random() 是统计学的 PRNG，攻击者很容易猜到其生成的字符串。推荐使用密码学的PRNG。
在 JavaScript 中，常规的建议是使用 Mozilla API 中的 window.crypto.random() 函数。

解决方法：

1. 引入第三方库：crypto-js

   npm install crypto-js
   

2. 在 main.js 全局注册 cryptojs

   import crypto from 'crypto-js'
   Vue.use(crypto)
   

3. 使用，在需要使用的地方插入代码

   const randomValuesArray = new Uint32Array(1)
   const randomValue= crypto.getRandomValues(randomValuesArray)[0]
   

顺嘴一提：
fortify扫描的漏洞 —— Key Management: Empty Encryption Key
把报的关键字【key】换一个参数名即可。

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！