随着大量 HTML5 应用的出现,如何加强对 JavaScript 的源代码的保护?
程序员文章站
2022-05-27 12:54:06
...
因为用户是可以查看 JavaScript 源代码的,即使是被压缩之后的。
[1]: https://chrome.google.com/webstore/detail/iieeldjdihkpoapgipfkeoddjckopgjg
[2]: http://static.www.zhihu.com/static/js/all_min.js
[3]: http://code.google.com/closure/
题目所述的问题,在于离线存储之后,源代码的保护问题。
先绕个远,来问另一个问题。有了Windows,为什么会有ReactOS这种东西?Linux是仿造谁的?
回到这个问题上来。
对于一些牛逼的程序员,仿造任何他们看到的程序,都是可能的。你保护源代码有意义吗?
即便真的有很高的技术含金量在里面,只要把这部分做到服务器里就好了。
即便不做到服务器里,也没关系。Winrar到现在也不是在线版。但它也没被抄袭啊。
任何软件,都是可以被逆向分析甚至逆向工程的,所以,保护源代码、保护算法,基本上是一件不太可能的事。(甚至保护硬件都是一件不太可能的事,关键在于,你了解了原理之后,能重现吗?)
各种吐槽之后,有点跑题,没有给出具体的解决问题的方法。欢迎折叠,欢迎顶贴。 查看本页的 Javascript 并分析之,谢谢。 查资料查到这里来了,为楼上各位的武断惊呆了。什么js不需要保护、什么牛逼程序员可以仿造你的效果(仿造你的不要时间吗,时间不就是钱吗?)。现在web可以做的事情越来越多,不光是做一些界面的动画,假如你是用html5的canvas做一个基于web的绘图工具呢,这种场景下js也不重要?而且web有一个非常好的优点是跨平台,Windows、Mac、iOS、Android,为跨平台做的开发工作会少非常多。
再找找,希望能有合适的方式。 我觉得要明确两点问题:
1. 为嘛要保护?
因为涉及到核心竞争力了?如果没有,没必要保护。就算不看源码,仿一个功能也是没什么问题的,比如腾讯到处山寨,它就没有看到人家的源代码么,你不一样防不住么。
2. 保护产生的好处是嘛?
程序更安全了?那么windows安全么,苹果不也被破解越狱了么。不要把敏感的数据处理步骤放在js代码里就足够了。 压缩和混淆都是代码的一种静态标注保护代码,还可以在程序运行中,检测堆栈的变化来标识你的程序,这种动态标识,很少能够被破解。 目前好像还没有说哪一种前端效果是独一无二的,如果真想借鉴,从你这获取不到,从别的地方一样可以获取到,有这心思和功夫,还不如多用在研发新技术上呢
回复内容:
没有用。用 Chrome 去装个这个插件 [1],然后打开知乎的 JS [2] 看看。JS 混淆器(比如 [3])也就能重新命名一下变量、函数什么的。逆向工程很容易。JS 虚拟机短期内不会出现。保护好你的服务器端才是王道。[1]: https://chrome.google.com/webstore/detail/iieeldjdihkpoapgipfkeoddjckopgjg
[2]: http://static.www.zhihu.com/static/js/all_min.js
[3]: http://code.google.com/closure/
- 我觉得js从诞生起就不应该作为一种被保护的代码,因此你才会看到大量的js库都以开源方式发布,需要保护的代码是服务端的代码(防止你不想要的漏洞挖掘行为)和服务器的安全。
- 举个不恰当的例子,优秀的JS代码之于盗取代码的人而言就像名画之于临摹画作的人,你需要做的是把画做好就行,别人临摹反而是对你“画作”的一种肯定。因此,防止别人盗取要做的不是把画给抹掉,而是用法律武器(如果你想非开源并保护你代码版权的话)。
- 而虚拟机的话,js执行的宿主环境浏览器本来就可以看做一个虚拟机,除非把js弄成编译型语言,否则并无法做到源代码直接查看,但是这又会丧失了js本身优秀的动态特性
- 同样作为编译型语言的C# java等依然可以反编译出非常易读的代码(例如C#的反编译工具reflector),就算是C语言在编译后也可以反汇编为汇编代码,只要你有恒心,任何逆向工程都是可以的。因此,只要代码是在本地执行的,那就不存在绝对的代码保护。
- js现有的保护机制主要为混淆合并等,但是更多这种工具(例如closure compiler)的初衷是用于减小js体积而不是用于混淆代码,而某些混淆加密工具反而会增大js体积,这在实践中是不可取的。
题目所述的问题,在于离线存储之后,源代码的保护问题。
先绕个远,来问另一个问题。有了Windows,为什么会有ReactOS这种东西?Linux是仿造谁的?
回到这个问题上来。
对于一些牛逼的程序员,仿造任何他们看到的程序,都是可能的。你保护源代码有意义吗?
即便真的有很高的技术含金量在里面,只要把这部分做到服务器里就好了。
即便不做到服务器里,也没关系。Winrar到现在也不是在线版。但它也没被抄袭啊。
任何软件,都是可以被逆向分析甚至逆向工程的,所以,保护源代码、保护算法,基本上是一件不太可能的事。(甚至保护硬件都是一件不太可能的事,关键在于,你了解了原理之后,能重现吗?)
各种吐槽之后,有点跑题,没有给出具体的解决问题的方法。欢迎折叠,欢迎顶贴。 查看本页的 Javascript 并分析之,谢谢。 查资料查到这里来了,为楼上各位的武断惊呆了。什么js不需要保护、什么牛逼程序员可以仿造你的效果(仿造你的不要时间吗,时间不就是钱吗?)。现在web可以做的事情越来越多,不光是做一些界面的动画,假如你是用html5的canvas做一个基于web的绘图工具呢,这种场景下js也不重要?而且web有一个非常好的优点是跨平台,Windows、Mac、iOS、Android,为跨平台做的开发工作会少非常多。
再找找,希望能有合适的方式。 我觉得要明确两点问题:
1. 为嘛要保护?
因为涉及到核心竞争力了?如果没有,没必要保护。就算不看源码,仿一个功能也是没什么问题的,比如腾讯到处山寨,它就没有看到人家的源代码么,你不一样防不住么。
2. 保护产生的好处是嘛?
程序更安全了?那么windows安全么,苹果不也被破解越狱了么。不要把敏感的数据处理步骤放在js代码里就足够了。 压缩和混淆都是代码的一种静态标注保护代码,还可以在程序运行中,检测堆栈的变化来标识你的程序,这种动态标识,很少能够被破解。 目前好像还没有说哪一种前端效果是独一无二的,如果真想借鉴,从你这获取不到,从别的地方一样可以获取到,有这心思和功夫,还不如多用在研发新技术上呢
上一篇: 用PS制作逼真的放大镜效果