我知道无法隐藏源代码,但是,例如,如果我必须将CDN中的JavaScript文件链接到网页,并且我不希望人们知道此脚本的位置和/或内容,这是可能?
例如,要从网站链接脚本,我们使用:
<script type="text/javascript" src="http://somedomain.com/scriptxyz.js">
</script>
现在,是否可以向脚本隐藏用户,或者隐藏脚本内容并仍在网页上使用?
例如,通过将其保存在需要密码才能访问文件的我的私人CDN中,行得通吗?如果没有,什么会得到我想要的?
Answers:
Javascript是一种客户端编程语言,因此它可以在客户端计算机上运行,因此您实际上无法向客户端隐藏任何内容。
混淆代码是一个很好的解决方案,但这还不够,因为尽管很难,但是有人可以破译代码并“窃取”脚本。
有几种方法可以使您的代码难以被盗,但正如我所说,没有什么是防弹的。
在我脑海中,一个想法是限制从您嵌入代码的页面外部访问外部js文件。在这种情况下,如果您有
<script type="text/javascript" src="myJs.js"></script>
并且有人尝试在浏览器中访问myJs.js文件,则不应授予他对脚本源的任何访问权限。
例如,如果您的页面是用php编写的,则可以通过include函数包含脚本,并让脚本确定返回源代码是否安全“。
在本示例中,您将需要外部“ js”(用php编写) )文件myJs.php:
<?php
$URL = $_SERVER['SERVER_NAME'].$_SERVER['REQUEST_URI'];
if ($URL != "my-domain.com/my-page.php")
die("/\*sry, no acces rights\*/");
?>
// your obfuscated script goes here
那将包含在您的主页my-page.php中:
<script type="text/javascript">
<?php include "myJs.php"; ?>;
</script>
这样,只有浏览器才能看到js文件的内容。
另一个有趣的想法是,在脚本末尾,删除dom脚本元素的内容,以便在浏览器评估您的代码之后,该代码消失:
<script id="erasable" type="text/javascript">
//your code goes here
document.getElementById('erasable').innerHTML = "";
</script>
这些都是无法做到的简单黑客,我不能对此施加足够的压力:不能完全保护您的js代码,但是它们可以肯定激怒了试图“窃取”您代码的人。
最近,我遇到了Patrick Weid写的一篇非常有趣的文章,内容涉及如何隐藏您的js代码,他揭示了一种不同的方法:您可以将源代码编码为图像!当然,这也不是防弹的,但这是您可以围绕代码构建的另一道围栏。
这种方法背后的思想是,大多数浏览器可以使用canvas元素对图像进行像素处理。并且由于画布像素由4个值(rgba)表示,因此每个像素可以具有0-255范围内的值。这意味着您可以在每个像素中存储一个字符(实际上是ASCII码)。其余的编码/解码很简单。
谢谢,帕特里克!
就在我脑海中,您可以执行以下操作(如果您可以创建服务器端脚本,听起来就可以):
与其像通常那样加载脚本,不如将AJAX请求发送到PHP页面(可以是任何东西;我只是自己使用它)。让PHP找到文件(可能在服务器的非公开部分),用打开它file_get_contents,然后echo将内容作为字符串返回(读:)。
当此字符串返回到JavaScript时,让它创建一个新script标签,innerHTML用您刚收到的代码填充它,并将标签附加到页面上。(您可能会遇到麻烦;innerHTML可能不是您所需要的,但是可以尝试。)
如果您经常这样做,您甚至可能想要建立一个PHP页面,该页面接受带有脚本名称的GET变量,以便您可以使用同一PHP动态地获取不同的脚本。(也许您可以改用POST,这会使其他人更难看到您在做什么。我不知道。)
编辑:我以为你只是想隐藏脚本的位置。如果您想隐藏脚本本身,这显然无济于事。
Google Closure编译器,YUI压缩器,Minify,/ Packer / ...等是用于压缩/混淆JS代码的选项。但是它们都不能帮助您向用户隐藏代码。
任何拥有扎实知识的人都可以使用JS Beautifier之类的工具轻松地对您的代码进行解码/去模糊化。随便你
因此,答案是,您总是可以使代码更难以阅读/解码,但是可以肯定没有隐藏的方法。
我在这里与其他所有人都同意:在客户端上使用JS时,这只猫已脱颖而出,没有什么可以完全做到的。
话说回来; 在某些情况下,我这样做是为了给那些想要看一下代码的人带来一些障碍。这就是算法的工作原理(大致)
服务器创建3个哈希值和盐值。一个用于当前时间戳,另外两个用于接下来的2秒。这些值通过Ajax作为逗号分隔的字符串发送给客户端。从我的PHP模块。在某些情况下,我认为您可以在形成页面时将这些值硬烘焙到HTML的脚本部分中,并在哈希的使用结束后删除该脚本标记。服务器受CORS保护,并且执行所有常用的SERVER_NAME等检查(这不是什么保护措施,但至少可以稍微抵抗剧本小子)。
如果服务器检查是否确实存在经过身份验证的用户的客户端,这也很好
然后,客户端通过ajax调用将相同的3个哈希值发送回服务器,以获取所需的实际JS。服务器根据那里的当前时间戳检查哈希值...这三个值确保在3秒的窗口内发送数据,以解决浏览器和服务器之间的延迟
需要使服务器确信散列之一正确匹配。如果是这样,它将把关键的JS发送回客户端。这是一个简单的粗略的“一次性使用密码”,无需在后端使用任何数据库。
这意味着,自从生成第一组哈希以获取实际JS代码以来,任何黑客都只有3秒的窗口周期。
整个客户端代码可以位于IIFE函数中,因此,从Inspector控制台读取该客户端内部的某些变量更加困难。
这不是一个深层的解决方案:坚定的黑客可以注册,获取帐户,然后要求服务器生成前三个哈希值。通过技巧绕过Ajax和CORS;然后让客户执行第二次调用以获取实际代码-但这是一个合理的工作量。
此外,如果服务器使用的Salt是基于登录凭据的;服务器可能能够检测到谁是试图窃取敏感JS的用户(在窃取敏感JS之后,服务器需要针对用户的行为做更多其他工作,如果该人说该人,则将其阻止)例如,没有进行预期的其他活动)
在hackathon上已完成了一个较旧的粗略版本:http : //planwithin.com/demo/tadr.html如果服务器检测到太多延迟,并且超过了3秒的窗口时间,则该方法将不起作用
我知道这是回答这个问题的错误时间,但是我只是想到了一些东西
我知道这可能会带来压力,但至少可能仍然有效
现在的诀窍是 创建许多服务器端编码脚本,它们必须是可解码的(例如,一个脚本用数字替换所有元音,并在每个辅音中添加字母“ a”,以便单词“ bat”成为ba1ta),然后创建一个脚本在编码脚本之间随机化,并使用正在使用的编码脚本的名称创建一个cookie(提示:请尝试不要对cookie使用编码脚本的实际名称,例如,如果我们的cookie名称为“ encoding_script_being_used”和随机脚本选择一个名为MD10的编码脚本,请尝试不使用MD10作为cookie的值,而只是为了防止猜测而使用“ encoding_script4567656”),然后在创建cookie后,另一个脚本将检查名为“ encoding_script_being_used”的cookie并获取该值,然后它将确定使用哪种编码脚本。
现在,在编码脚本之间进行随机化的原因是,服务器端语言将随机化用于解码javascript.js的脚本,然后创建一个会话或cookie来知道所使用的编码脚本,然后服务器端语言还将对您的javascript进行编码javascript .js并将其作为Cookie
这样人们就无法窃取您的代码
但我不建议这样做,因为