运行Fortify安全报告后,我们得到的标准伪随机数生成器无法承受jquery.js,bootstrap.js,highchart.js中用于math.random()函数的主库文件中的加密攻击。 我想在库文件中更改math.random()函数,但这不是直接在主库文件中更改的解决方案。 请建议任何未获得的更改标准伪随机数生成器无法承受加密攻击。
答案 0 :(得分:0)
Math.random()不是jQuery的一部分。它是浏览器标准Javascript库的一部分。所以我认为,jQuery中使用的随机数生成器“Math.random()”无法承受加密攻击,在这种情况下,我们不需要结果实际上是随机的,更改代码会使其更大以图书馆的所有用户为代价。
答案 1 :(得分:0)
如Dhaval的回答(https://stackoverflow.com/a/46502229/1981358中所述),您可能不需要库中的密码安全随机性。您将需要调查每个库,但是很可能已经提出了这个问题。例如来自the jQuery forums:
您不是第一个从设防中得到这些错误警告的人。
和他们一起来。
至于确定您的JS库是否确实存在安全问题,我建议您定期检查synk。这是他们的jQuery版本及其漏洞列表的链接:https://snyk.io/vuln/npm:jquery
(您可以使用Chrome Dev Tools Audit来获取页面正在使用的具有已知安全漏洞的前端JS库的列表,并链接到相关的synk页面。)
如果您确定JS库不需要加密安全的随机性,请使用Fortify SSC标记为“不是问题”。
如果您确实确实需要密码安全的随机性,则此问题(以及相关问题)的答案提供了一些选项:Is Math.random() cryptographically secure?