javascript – Chrome和IE返回不同的SHA哈希值

前端之家收集整理的这篇文章主要介绍了javascript – Chrome和IE返回不同的SHA哈希值前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我写了一个利用SHA-256哈希来验证用户密码的网站.这是一个相对不安全的设置,因为大多数用户将拥有相同的用户名/密码.为了尝试保护它至少一点点,我做以下事情:

>客户端从服务器请求新的salt
>客户端使用此盐哈希密码
>客户端将带有salt的哈希密码发送回服务器
>服务器哈希实际密码并比较两者

这是我的代码

C#

//Just for testing!
private static Dictionary<string,string> users = new Dictionary<string,string>() { { "User","Password" } };

[HttpGet]
public HttpResponseMessage GetSalt()
{
   RNGCryptoServiceProvider secureRNG = new RNGCryptoServiceProvider();
   byte[] saltData = new byte[64];

   secureRNG.GetBytes(saltData);

   HttpResponseMessage response = new HttpResponseMessage();
   response.Content = new StringContent(System.Text.Encoding.Unicode.GetString(saltData),System.Text.Encoding.Unicode);
   return response;
}

[HttpGet]
public bool ValidateUser(string userName,string hashedPassword,string salt)
{
   SHA256Managed hash = new SHA256Managed();         
   if (users.ContainsKey(userName))
   {
       string fullPassword = salt + users[userName];
       byte[] correctHash = hash.ComputeHash(System.Text.Encoding.UTF8.GetBytes(fullPassword));

       if (hashedPassword.ToUpper() == BitConverter.ToString(correctHash).Replace("-",""))
       {
           return true;
       }
   }
   return false;
}

使用Javascript

$scope.login = function () {
    $http.get('api/Login').success(function (salt) {
        //Hash the password with the salt and validate
        var hashedPassword = sjcl.hash.sha256.hash(salt.toString().concat($scope.password));
        var hashString = sjcl.codec.hex.fromBits(hashedPassword);

        $http.get('api/Login?userName=' + $scope.userName + '&hashedPassword=' + hashString + '&salt=' + salt).success(function (validated) {
            $scope.loggedIn = validated;
        });
    });

代码在Google Chrome上运行良好,但在Internet Explorer 11上运行不正常.问题(如调试器中所示)是javascript生成的哈希值与C#生成的哈希值不同.

我怀疑这与字符编码有关,但在网上没有发现很多东西来证明/反驳这个理论(或者总体上帮助解决这个问题).如果有更好的方法解决这个问题,我很高兴听到它,但也希望了解原始错误的原因.

为什么哈希不同,我该怎么做才能解决它?

解决方法

IE不喜欢查询字符串中的Unicode字符.它也不喜欢一些ASCII的“特殊”字符.即使它正确接受它们并正确执行哈希,当你运行这段代码时,盐就是“???????”来自IE时,以及来自Chrome的正确字符串.

简单的解决方法是将salt的字符集限制为大写,小写和数字.使用此方法,两个浏览器都提供正确的哈希.

猜你在找的JavaScript相关文章