# 前端架构与数据风险分析

## 一、前端架构总览
- **框架**：Vue.js + Alibaba icestark 微前端架构
- **构建工具**：Vite（登录模块）/ Vue CLI（主站）
- **加密库**：SM2 国密算法 (`sm2.min.js`)、SM4 对称加密、RSA 加密
- **依赖库**：jQuery 1.12.4、qrcode.min.js、CKEditor、axios
- **CA 组件**：Kinggrid 金格电子签章、GEL 格尔CA

## 二、高危风险：敏感信息暴露
1. **JWT Token 明文多处存储**
   - `access_token` 同时存储在 `Cookie` 和 `localStorage` 中，极易受 XSS 攻击被盗取。
2. **sessionStorage 明文存储 PII**
   - 存储了用户手机号、邮箱、身份证号后缀、所属机构编码等信息。
3. **错误日志泄露内部架构**
   - `localStorage['errLog']` 包含后端内部接口路径和完整 URL 映射。

## 三、中危风险：配置与策略缺陷
1. **配置文件暴露敏感密钥**
   - `/gp-auth-web/config.js` 暴露了 SM4 加密公钥、RSA 公钥及云端内网 IP (`114.115.172.176`)。
2. **缺少 CSP 安全策略**
   - 缺乏 `Content-Security-Policy` 响应头，无法防御 XSS。
3. **弱密码校验关闭**
   - `isShowWeakPassword: false` 允许用户使用弱密码。
4. **陈旧组件库**
   - jQuery 1.12.4 存在已知 XSS 漏洞 (CVE-2020-11022)。

## 四、修复建议
- JWT 仅存放于 HttpOnly Cookie。
- 移除 sessionStorage 中的 PII 信息和 localStorage 的日志。
- 敏感密钥改由后端动态获取，配置严格的 CSP 策略。