HTML5密码怎么跨域传递安全_跨域传密码加密方法【方法】

密码不可跨域明文传递，须用Web Crypto API的PBKDF2在前端加盐派生密钥（iterations≥100000、SHA-256、后端下发盐），导出十六进制凭证供后端校验，全程内存操作并立即清空原始密码。

密码不能跨域明文传递，这是浏览器安全模型的硬性限制

跨域场景下直接用 fetch 或 XMLHttpRequest 向不同源的后端发原始密码，等同于把密码暴露在请求头、URL 参数或请求体中——中间网络节点、代理、CDN 都可能截获。更关键的是，现代浏览器会拦截非 https 下的密码提交，且 CORS 预检失败时连请求都发不出去。

真正可行的做法是：前端不“传密码”，而是把密码在本地完成不可逆处理（如加盐哈希），再把处理结果交给后端校验。后端必须有对应算法和存储的哈希值（不是明文密码）。

前端用 Web Crypto API 做 PBKDF2 密码派生（推荐）

比 SHA-256 等简单哈希更安全，它自带迭代和盐值，能抵抗彩虹表和暴力破解。注意：不能用 crypto.subtle.digest() 直接哈希密码，那没有抗碰撞性保障。

• crypto.subtle.importKey() 导入密码为原始密钥（raw 格式，extractable: false）
• crypto.subtle.deriveKey() 调用 PBKDF2，指定 iterations ≥ 100000、hash: "SHA-256"、盐值建议用后端下发的 16 字节随机数（避免前端硬编码）
• 导出结果用 crypto.subtle.exportKey("hex", derivedKey) 得到十六进制字符串，作为“凭证”发送

示例关键片段：

立即学习“前端免费学习笔记（深入）”；

家电小商城网站源码1.0

家电公司网站源码是一个以米拓为核心进行开发的家电商城网站模板，程序采用metinfo5.3.9 UTF8进行编码，软件包含完整栏目与数据。安装方法：解压上传到空间，访问域名进行安装，安装好后，到后台-安全与效率-数据备份还原，恢复好数据后到设置-基本信息和外观-电脑把网站名称什么的改为自己的即可。默认后台账号：admin 密码：132456注意：如本地测试中127.0.0.1无法正常使用，请换成l

下载

const encoder = new TextEncoder();
const salt = new Uint8Array([/* 后端给的 salt */]);
const keyMaterial = await crypto.subtle.importKey(
  "raw",
  encoder.encode(password),
  { name: "PBKDF2" },
  false,
  ["deriveKey"]
);
const derivedKey = await crypto.subtle.deriveKey(
  { name: "PBKDF2", salt, iterations: 100000, hash: "SHA-256" },
  keyMaterial,
  { name: "AES-GCM", length: 256 },
  false,
  ["encrypt"]
);
const hex = Array.from(new Uint8Array(await crypto.subtle.exportKey("raw", derivedKey)))
  .map(b => b.toString(16).padStart(2, "0"))
  .join("");

后端必须同步实现相同 PBKDF2 参数校验

前端算出的哈希值对不上，99% 是后端参数不一致。重点核对：

• 盐值是否完全一致（字节级，不是 base64 编码后再比对）
• iterations 数值是否与前端完全相同（比如前端写 100000，后端写 1e5 就会出错）
• 哈希算法名是否严格为 "SHA-256"（Node.js 的 pbkdf2 默认可能是 sha1）
• 输出长度是否匹配（例如前端导出 32 字节 AES 密钥，后端却按 64 字节解析）

Node.js 示例（使用 crypto.pbkdf2Sync）：

const key = crypto.pbkdf2Sync(
  password,
  saltBuffer, // 必须是 Buffer，不是字符串
  100000,
  32, // 长度要和前端 deriveKey 的 length 一致
  "sha256"
);

绝对不要用 localStorage / URL / GET 参数传密码或其哈希

哪怕加了哈希，存到 localStorage 也会被 XSS 直接读取；拼在 URL 里会被服务器日志、浏览器历史、Referer 泄露；用 GET 发送等于公开广播。

正确姿势只有一条：密码输入后立即在内存中计算派生密钥，得到结果后立刻清空原始密码变量（password = ""），且整个过程不落盘、不记录、不缓存。如果页面存在未修复的 XSS 漏洞，任何前端加密都形同虚设——这时候该修的是 XSS，不是换加密算法。