有没有被广泛认为可信的SHA-256 JavaScript实现？

我在https://developer.mozilla.org/en-US/docs/Web/API/SubtleCrypto/digest上找到了这个使用内部js模块的片段：

async function sha256(message) {
    // encode as UTF-8
    const msgBuffer = new TextEncoder().encode(message);                    

    // hash the message
    const hashBuffer = await crypto.subtle.digest('SHA-256', msgBuffer);

    // convert ArrayBuffer to Array
    const hashArray = Array.from(new Uint8Array(hashBuffer));

    // convert bytes to hex string                  
    const hashHex = hashArray.map(b => b.toString(16).padStart(2, '0')).join('');
    return hashHex;
}

请注意，crypto.subtle 仅在 https 或 localhost 上可用。例如，在使用 python3 -m http.server 进行本地开发时，您需要将以下行添加到您的 /etc/hosts 文件中：0.0.0.0 localhost

重启后，您就可以打开 localhost:8000 并使用 crypto.subtle。

已过时：许多现代浏览器现在都拥有对加密操作的一流支持。请参见下面Vitaly Zdanevich的回答。

---

斯坦福JS加密库包含了SHA-256的实现。虽然JS中的加密并不像其他实现平台那样经得起考验，但这个库至少部分由Dan Boneh开发和赞助，他是密码学领域一个知名且值得信任的人物，并且这意味着该项目受到真正懂得此领域的人的监督。该项目也得到了NSF的支持。

然而，值得指出的是...
...如果在提交前在客户端哈希密码，则散列是密码，原始密码变得无关紧要。攻击者只需要拦截哈希即可冒充用户，如果该哈希未经修改地存储在服务器上，则表明服务器以纯文本形式存储了真实密码（哈希）。

因此，由于您决定添加自己的改进到之前信任的方案中，所以您的安全性现在变得更糟糕了。

有兴趣的人，这是使用sjcl创建SHA-256散列的代码：

import sjcl from 'sjcl'

const myString = 'Hello'
const myBitArray = sjcl.hash.sha256.hash(myString)
const myHash = sjcl.codec.hex.fromBits(myBitArray)

Forge的SHA-256实现快速可靠。

要在多个SHA-256 JavaScript实现上运行测试，请访问http://brillout.github.io/test-javascript-hash-implementations/。

我的电脑上的结果表明，Forge是最快的实现，并且比被接受的答案中提到的Stanford Javascript Crypto Library (sjcl) 快得多。

Forge大小为256 KB，但提取与SHA-256相关的代码会将其大小缩小到4.5 KB，请参见https://github.com/brillout/forge-sha256

不，无法使用浏览器JavaScript提高密码安全性。我强烈建议您阅读这篇文章。在您的情况下，最大的问题是“鸡蛋问题”：

使用JavaScript加密时的“鸡蛋问题”是什么？

如果您不信任网络传输密码，或者更糟糕的是，不相信服务器不会保留用户的机密信息，那么您就不能信任它们传递安全代码。在引入加密之前嗅探密码或阅读日记的同一攻击者只是在您这样做后劫持加密代码。

[...]

为什么不能使用TLS/SSL传递Javascript加密代码？

你可以这样做。虽然比听起来困难得多，但是你可以使用SSL安全地将Javascript加密传输到浏览器。问题是，一旦通过SSL建立了安全通道，你就不再需要Javascript加密；你已经拥有了“真正”的加密。

这导致了以下情况：

在Javascript中运行加密代码的问题在于，实际上任何与加密相关的函数都可能被用于构建托管页面的任何内容静默地覆盖。加密安全可能会在过程早期（通过生成虚假随机数或篡改算法使用的常量和参数）或过程后期（通过将密钥材料带回攻击者）被撤销，或者在最有可能的情况下完全绕过加密。
没有可靠的方法让任何JavaScript代码验证其执行环境。JavaScript加密代码不能询问“我是否真的正在处理随机数生成器，还是处理攻击者提供的某种仿真？”而且它肯定不能断言“除了我，作者，批准的方式外，没有人被允许以任何方式处理这个加密秘密”。这些是其他使用加密的环境通常提供的两个属性，在JavaScript中是不可能的。
基本上问题就是这样：
您的客户不信任您的服务器，因此他们想添加额外的安全代码。
该安全代码由您的服务器（他们不信任的那些）提供。
或者换句话说，

• 你的客户不信任SSL,因此他们希望你使用额外的安全代码。
• 该安全代码是通过SSL传递的。

注意：另外，SHA-256不适合这种情况，因为它很容易被暴力破解非盐非迭代密码。如果你还是决定这样做，可以寻找bcrypt, scrypt或PBKDF2的实现。

我发现这个实现非常易于使用。同时还有一份慷慨的类BSD许可证：

jsSHA：https://github.com/Caligatio/jsSHA

我需要一种快速获取SHA-256哈希值十六进制字符串表示的方法。只需要三行代码：

var sha256 = new jsSHA('SHA-256', 'TEXT');
sha256.update(some_string_variable_to_hash);
var hash = sha256.getHash("HEX");

可以使用CryptoJS - https://www.npmjs.com/package/crypto-js

import sha256 from 'crypto-js/sha256'

const hash = sha256('Text')

除了tylerl提到的Stanford lib之外，我发现jsrsasign非常有用（Github repo在这里：https://github.com/kjur/jsrsasign）。我不知道它到底有多可靠，但我已经使用过它的SHA256、Base64、RSA、x509等API，效果非常好。事实上，它也包含了Stanford lib。
如果你只想使用SHA256，jsrsasign可能会过于复杂。但是如果你在相关领域有其他需求，我认为它是一个很好的选择。

js-sha256 是一个你可以使用的 npm 包，与只能在安全连接（localhost/https）上工作的流行的 crypto.subtle 不同，它可以在任何情况下工作。当然，拥有安全连接仍然是最好的选择。我一直在使用 crypto.subtle，因为我在本地主机上运行我的 Web 应用程序，所以它一直工作得很好，但是当我尝试在服务器上运行时，它立即失败了。我不得不暂时切换到 js-sha256 npm 包，直到可以配置安全连接。

ethers.js拥有SHA256功能(https://docs.ethers.io/v5/api/utils/hashing/)

const { ethers } = require('ethers');
ethers.utils.sha256(ethers.utils.toUtf8Bytes('txt'));