前端项目在安全漏洞扫描的时候,爆出了客户端不安全随机数的问题,看了下代码是因为使用了 Math.random() 生成随机数造成的。
百度了一下,math.random()并不是真的随机数,而是伪随机数!
原因
Math.random() 函数是 JavaScript 内置的一个函数,它用于生成一个 0 到 1(包括0,不包括1) 之间的伪随机数。这个函数的实现依赖于浏览器或 JavaScript 引擎,不同的浏览器或引擎可能会使用不同的算法来实现这个函数。
通常情况下,Math.random() 函数会使用一种伪随机数生成器来生成随机数。这种生成器通常会使用一个初始值(称为种子)来生成一系列看起来随机的数字。为了使生成的数字更加不可预测,Math.random() 函数可能会使用外部数据(如当前时间)作为种子值。
由于 Math.random() 函数的实现依赖于浏览器或引擎,因此它产生的随机数质量也会受到影响。一些浏览器可能会使用线性同余生成器算法来实现,而另一些浏览器则可能会使用梅森旋转算法。
也就是说在有些业务场景中,这个方法做不到真正意义上的随机,也就算一个漏洞,接下来就想办法解决掉他。
解决方案
window.crypto.getRandomValues(new Uint8Array(1)) * 1
获取符合密码学要求的安全的随机值
注意此方法生成的是0-255之间(包括)的随机数,所以要想得到0-1的随机数需要乘以比 0.0039215686274509802小的值,当然也可以简写成0.0039,计算办法就是1000/255了。