怎样让JS代码变的安全?
本文分享自天翼云开辟者社区《怎样让JS代码变的安全?》,作者:温****双前端JS代码,直接袒露在浏览器中,任何访问者,都可以随意检察代码。这就导致代码可以被分析、复制、盗用等,进而引发安全问题,如被利用代码bug攻击、揭破功能逻辑、复制出雷同应用等等。
对JS代码进行保护:混淆&加密,使代码不可读。即:它人依然可以看到代码,但看到的是加密的代码、无法明确代码,更无法修改。通过混淆加密,使代码变的难以阅读和明确。
假如说混淆后机器能执行,人就能明确,只是需要的时间长短问题。这种极端的说法,从理论上来说没错,假如可以投入足够长的时间,步伐员甚至可以直接用0101写代码。而从现实角度而言,一段代码假如保护后分析需要的时长,超过开辟需要的时长,保护的目标就到达了,就会劝退99.9999%对它有想法的正常人类。
从技术上说用JS编程实现对JS代码混淆加密。Eval思绪不可用:可以被下断点调试或API HOOK,而轻松还原出原始代码。可逆加密方式不可用:加密方式可逆,则必然有解密函数,只需定位于解密出口,即可得到原始代码。异步代码获取并执行不可用:同样可被调试或hook,得到代码。可取的方式:代码混淆+数据加密。
混淆原理是非replace或regexp方式字符串替换,而是对JS源码进行重编译。从源码,进行词法分析、语法分析、得到AST(抽象语法树),此处是重点,得到AST后,在AST中执行关键混淆加密操作,如:字符算阵列化、字符加密、平展控制流、僵尸代码值入、反调试埋雷、花指令插入等,最后,再将AST重修为JS代码。如许就得到了一份被更改的面貌一新的安全JS代码:不可读、不可明确、不可修改、不可还原。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]