欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  web前端

随着大量 HTML5 应用的出现,如何加强对 JavaScript 的源代码的保护?

程序员文章站 2022-04-26 10:56:12
...
因为用户是可以查看 JavaScript 源代码的,即使是被压缩之后的。

回复内容:

没有用。用 Chrome 去装个这个插件 [1],然后打开知乎的 JS [2] 看看。JS 混淆器(比如 [3])也就能重新命名一下变量、函数什么的。逆向工程很容易。JS 虚拟机短期内不会出现。保护好你的服务器端才是王道。

[1]: chrome.google.com/webst
[2]: static.www.zhihu.com/st
[3]: code.google.com/closure
  • 我觉得js从诞生起就不应该作为一种被保护的代码,因此你才会看到大量的js库都以开源方式发布,需要保护的代码是服务端的代码(防止你不想要的漏洞挖掘行为)和服务器的安全。
  • 举个不恰当的例子,优秀的JS代码之于盗取代码的人而言就像名画之于临摹画作的人,你需要做的是把画做好就行,别人临摹反而是对你“画作”的一种肯定。因此,防止别人盗取要做的不是把画给抹掉,而是用法律武器(如果你想非开源并保护你代码版权的话)。
  • 而虚拟机的话,js执行的宿主环境浏览器本来就可以看做一个虚拟机,除非把js弄成编译型语言,否则并无法做到源代码直接查看,但是这又会丧失了js本身优秀的动态特性
  • 同样作为编译型语言的C# java等依然可以反编译出非常易读的代码(例如C#的反编译工具reflector),就算是C语言在编译后也可以反汇编为汇编代码,只要你有恒心,任何逆向工程都是可以的。因此,只要代码是在本地执行的,那就不存在绝对的代码保护。
  • js现有的保护机制主要为混淆合并等,但是更多这种工具(例如closure compiler)的初衷是用于减小js体积而不是用于混淆代码,而某些混淆加密工具反而会增大js体积,这在实践中是不可取的。
closure compiler是基于语法分析的混淆(准确的说是编译)。用它基本就够了,被反向后也很难看懂。前端代码没必要考虑保护,混淆或压缩纯粹是为了性能。 可以混淆和压缩 我来回答这个问题看来最合适不过了。(刚研究了两周的html5)

题目所述的问题,在于离线存储之后,源代码的保护问题。

先绕个远,来问另一个问题。有了Windows,为什么会有ReactOS这种东西?Linux是仿造谁的?

回到这个问题上来。
对于一些牛逼的程序员,仿造任何他们看到的程序,都是可能的。你保护源代码有意义吗?

即便真的有很高的技术含金量在里面,只要把这部分做到服务器里就好了。
即便不做到服务器里,也没关系。Winrar到现在也不是在线版。但它也没被抄袭啊。
任何软件,都是可以被逆向分析甚至逆向工程的,所以,保护源代码、保护算法,基本上是一件不太可能的事。(甚至保护硬件都是一件不太可能的事,关键在于,你了解了原理之后,能重现吗?)

各种吐槽之后,有点跑题,没有给出具体的解决问题的方法。欢迎折叠,欢迎顶贴。 查看本页的 Javascript 并分析之,谢谢。 查资料查到这里来了,为楼上各位的武断惊呆了。什么js不需要保护、什么牛逼程序员可以仿造你的效果(仿造你的不要时间吗,时间不就是钱吗?)。现在web可以做的事情越来越多,不光是做一些界面的动画,假如你是用html5的canvas做一个基于web的绘图工具呢,这种场景下js也不重要?而且web有一个非常好的优点是跨平台,Windows、Mac、iOS、Android,为跨平台做的开发工作会少非常多。

再找找,希望能有合适的方式。 我觉得要明确两点问题:
1. 为嘛要保护?
因为涉及到核心竞争力了?如果没有,没必要保护。就算不看源码,仿一个功能也是没什么问题的,比如腾讯到处山寨,它就没有看到人家的源代码么,你不一样防不住么。

2. 保护产生的好处是嘛?
程序更安全了?那么windows安全么,苹果不也被破解越狱了么。不要把敏感的数据处理步骤放在js代码里就足够了。 压缩和混淆都是代码的一种静态标注保护代码,还可以在程序运行中,检测堆栈的变化来标识你的程序,这种动态标识,很少能够被破解。 目前好像还没有说哪一种前端效果是独一无二的,如果真想借鉴,从你这获取不到,从别的地方一样可以获取到,有这心思和功夫,还不如多用在研发新技术上呢
相关标签: JavaScript