如何混淆（保护）JavaScript？

Question

Closed. This question needs to be more focused. It is not currently accepting answers.

---

想要改进这个问题吗？通过编辑这篇文章来更新问题，使其仅关注一个问题。

10 年前已关闭。

此帖子已于 6 个月前编辑并提交审核，但未能重新打开帖子：

原始关闭原因未解决

Answer 1

您绝对应该考虑看看 Obfuscriptor。

我超越了我们从其他工具（例如 YUI Compressor 或Google 关闭。

混淆后的代码看起来更像是加密的。 与我以前见过的任何东西都不一样。

Answer 2

我过去用过这个，效果很好。 它不是免费的，但你绝对应该看看。
JavaScript 混淆器 编码器

Answer 3

混淆：

尝试YUI 压缩机。 这是一个非常流行的工具，由 Yahoo UI 团队构建、增强和维护。

您还可以使用：

• Google 闭包编译器
• UglifyJS
  

更新：这个问题最初是在 2008 年提出的，并且提到的技术已被弃用。 您可以使用：

• terser - 更多信息请参见web.dev。

私有字符串数据：

保持字符串值私有是一个不同的问题，并且混淆不会真正有太大好处。 当然，通过将源代码打包成乱码、缩小的混乱，您可以通过模糊性获得安全性的轻型版本。 大多数时候，您的用户正在查看源代码，并且客户端上的字符串值是供他们使用的，因此通常不需要这种私有字符串值。

如果你确实有一个你不想让用户看到的值，你会有几个选择。 首先，您可以进行某种加密，该加密在页面加载时解密。 这可能是最安全的选择之一，但也可能需要做很多不必要的工作。 您可能可以对一些字符串值进行 base64 编码，这会更容易。但是真正想要这些字符串值的人可以轻松解码它们。 加密是真正防止任何人访问您的数据的唯一方法，大多数人发现这比他们需要的更安全。

旁注：

Javascript 中的混淆已知会导致一些错误。 混淆器在这方面做得更好了，但许多机构认为他们从缩小和gzipping中看到了足够的好处，并且混淆所节省的额外费用并没有增加。总是值得麻烦的。 如果您想保护您的源代码，也许您会认为这是值得的，只是为了让您的代码更难阅读。 JSMin 是一个不错的选择。

Answer 4

我很惊讶没有人提到 Google 的Closure 编译器。 它不仅仅是缩小/压缩，它还进行分析以查找和删除未使用的代码，并重写以实现最大程度的缩小。 它还可以进行类型检查并警告语法错误。

JQuery 最近从 YUI 压缩机切换到 Closure 编译器，并看到了“扎实的改进”

Answer 5

混淆永远不会真正起作用。 对于任何真正想要获取您的代码的人来说，这只是一个减速带。 更糟糕的是，它使您的用户无法修复错误（并将修复程序发回给您），并且使您更难诊断现场问题。 这是浪费你的时间和金钱。

与律师讨论知识产权法以及您的法律选择。 “开源”并不意味着“人们可以阅读源代码”。 相反，开源是一种特殊的许可模式，授予自由使用和修改代码的权限。 如果您不授予这样的许可，那么复制您的代码的人就是违法的，并且（在世界上大多数地方）您有合法的选择来阻止他们。

真正保护代码的唯一方法就是不发布它。 将重要的代码移至服务器端，并让您的公共 Javascript 代码对其进行 Ajax 调用。

在此处查看我有关混淆器的完整答案。

Answer 6

你可以根据自己的需要混淆 javascript 源代码，但它总是可以进行逆向工程的，因为需要所有源代码在客户端计算机上实际运行......我能想到的最佳选择是完成所有处理使用服务器端代码，而 javascript 所做的所有客户端代码都是向服务器本身发送处理请求。 否则，任何人都将始终能够跟踪代码正在执行的所有操作。

有人提到使用 base64 来保证字符串安全。 这是一个糟糕的主意。 想要对您的代码进行逆向工程的人可以立即识别 Base64。 他们要做的第一件事就是对其进行解密并查看它是什么。

Answer 7

有许多免费的 JavaScript 混淆工具； 然而，我认为值得注意的是，很难将 JavaScript 混淆到无法进行逆向工程的程度。

为此，我在某种程度上使用了几个选项：

• YUI 压缩机< /a>. Yahoo! 的 JavaScript 压缩器在压缩代码方面做得很好，这将改善其加载时间。 有一定程度的混淆效果相对较好。 本质上，Compressor 将更改函数名称、删除空格并修改局部变量。 这是我最常使用的。 这是一个基于 Java 的开源工具。

• JSMin 是 Douglas Crockford 编写的一个工具，旨在缩小您的 JavaScript 源代码。 用 Crockford 自己的话来说，“JSMin 不会混淆，但它确实丑化了。” 它的主要目标是缩小源代码的大小，以便在浏览器中更快地加载。

• 免费 JavaScript 混淆器。 这是一个基于网络的工具，试图通过实际编码来混淆您的代码。 我认为其编码（或混淆）形式的权衡可能会以文件大小为代价； 不过，这是个人喜好问题。

Answer 8

我会做什么：

A. 攻击黑客！

这将是我的假/混淆的秘密 javascript 代码 LAUNCHER 的第二部分。
您在源代码中看到的那个。

这段代码是做什么的？

1. 加载真实代码
2. 设置自定义标头
3. 发布自定义变量

---

var ajax=function(a,b,d,c,e,f){
 e=new FormData();
 for(f in d){e.append(f,d[f]);};
 c=new XMLHttpRequest();
 c.open('POST',a);
 c.setRequestHeader("Troll1","lol");
 c.onload=b;
 c.send(e);
};
window.onload=function(){
 ajax('Troll.php',function(){
  (new Function(atob(this.response)))()
 },{'Troll2':'lol'});
}

B.稍微混淆代码

那是什么？

1. 这与上面的 base64 代码相同，
2. 这不是秘密的 javascript 代码

---

(new Function(atob('dmFyIGFqYXg9ZnVuY3Rpb24oYSxiLGQsYyxlLGYpe2U9bmV3IEZvcm1EYXRhKCk7Zm9yKGYgaW4gZCl7ZS5hcHBlbmQoZixkW2ZdKTt9O2M9bmV3IFhNTEh0dHBSZXF1ZXN0KCk7Yy5vcGVuKCdQT1NUJyxhKTtjLnNldFJlcXVlc3RIZWFkZXIoIlRyb2xsMSIsImxvbCIpO2Mub25sb2FkPWI7Yy5zZW5kKGUpO307d2luZG93Lm9ubG9hZD1mdW5jdGlvbigpe2FqYXgoJ1Ryb2xsLnBocCcsZnVuY3Rpb24oKXsgKG5ldyBGdW5jdGlvbihhdG9iKHRoaXMucmVzcG9uc2UpKSkoKX0seydUcm9sbDInOidsb2wnfSk7fQ==')))()

C 创建一个难以显示的 php 文件，其中包含真实代码

这个 php 代码是什么？

1. 检查正确的引荐来源网址（启动器的域/目录/代码）
2. 检查自定义标头
3. 检查自定义 POST 变量

如果一切正常，它将向您显示正确的代码，否则是假代码或禁止 ip，关闭页面.. 无论如何。

<?php
$t1=apache_request_headers();
if(base64_encode($_SERVER['HTTP_REFERER'])=='aHR0cDovL2hlcmUuaXMvbXkvbGF1bmNoZXIuaHRtbA=='&&$_POST['Troll2']=='lol'&&$t1['Troll1']='lol'){
 echo 'ZG9jdW1lbnQuYm9keS5hcHBlbmRDaGlsZChkb2N1bWVudC5jcmVhdGVFbGVtZW50KCdkaXYnKSkuaW5uZXJUZXh0PSdBd2Vzb21lJzsNCg==';//here is the SECRET javascript code
}else{
 echo 'd2luZG93Lm9wZW4oJycsICdfc2VsZicsICcnKTt3aW5kb3cuY2xvc2UoKTs=';
};
?>

base64 Referrer = http://here.is/my/launcher.html

秘密 javascript = document.body.appendChild(document.createElement('div')).innerText='Awesome' ;

FAKE = window.open('', '_self', '');window.close();

现在..如果您在 SECRET javascript 中定义事件处理程序，则可能可以访问它..您需要使用启动代码在外部定义它们并指向嵌套的 SECRET 函数。

那么...有没有简单的方法来获取代码？
document.body.appendChild(document.createElement('div')).innerText='Awesome';

我不确定这是否有效，但我正在使用 chrome 并检查了 Elements，资源、网络、来源、时间线、配置文件、审核，但我没有找到上面的行。

注意1：如果你在 Chrome 中从 Inspect element->network 打开 Troll.php url，你会得到假代码。

注意2：整个代码是为现代浏览器编写的。 polyfill 需要更多代码。

编辑

launcher.html

<!doctype html><html><head><meta charset="utf-8"><title></title><script src="data:application/javascript;base64,KG5ldyBGdW5jdGlvbihhdG9iKCdkbUZ5SUdGcVlYZzlablZ1WTNScGIyNG9ZU3hpTEdRc1l5eGxMR1lwZTJVOWJtVjNJRVp2Y20xRVlYUmhLQ2s3Wm05eUtHWWdhVzRnWkNsN1pTNWhjSEJsYm1Rb1ppeGtXMlpkS1R0OU8yTTlibVYzSUZoTlRFaDBkSEJTWlhGMVpYTjBLQ2s3WXk1dmNHVnVLQ2RRVDFOVUp5eGhLVHRqTG5ObGRGSmxjWFZsYzNSSVpXRmtaWElvSWxSeWIyeHNNU0lzSW14dmJDSXBPMk11YjI1c2IyRmtQV0k3WXk1elpXNWtLR1VwTzMwN2QybHVaRzkzTG05dWJHOWhaRDFtZFc1amRHbHZiaWdwZTJGcVlYZ29KMVJ5YjJ4c0xuQm9jQ2NzWm5WdVkzUnBiMjRvS1hzZ0tHNWxkeUJHZFc1amRHbHZiaWhoZEc5aUtIUm9hWE11Y21WemNHOXVjMlVwS1Nrb0tYMHNleWRVY205c2JESW5PaWRzYjJ3bmZTazdmUT09JykpKSgp"></script></head><body></body></html>

Troll.php

<?php $t1=apache_request_headers();if(/*base64_encode($_SERVER['HTTP_REFERER'])=='PUT THE LAUNCHER REFERER HERE'&&*/$_POST['Troll2']=='lol'&&$t1['Troll1']='lol'){echo 'ZG9jdW1lbnQuYm9keS5hcHBlbmRDaGlsZChkb2N1bWVudC5jcmVhdGVFbGVtZW50KCdkaXYnKSkuaW5uZXJUZXh0PSdBd2Vzb21lJzsNCg==';}else{echo 'd2luZG93Lm9wZW4oJycsICdfc2VsZicsICcnKTt3aW5kb3cuY2xvc2UoKTs=';}; ?>

Answer 9

解释型语言的问题在于，您发送源代码以使其正常工作（除非您有字节码编译器，但话又说回来，反编译非常简单）。

因此，如果您不想牺牲性能，则只能对变量和函数名称进行操作，例如。 用 a、b... aa、ab... 或 a101、a102 等替换它们。当然，删除尽可能多的空格/换行符（这就是所谓的 JS 压缩器所做的）。
如果您必须实时加密和解密字符串，那么混淆字符串将会影响性能。 另外，JS 调试器可以显示最终值......

Answer 10

尝试 JScrambler。 我最近试了一下，印象深刻。
它为那些不太关心细节而只想快速完成任务的人提供了一组带有预定义设置的混淆模板。 您还可以通过选择您想要的任何转换/技术来创建自定义混淆。

Answer 11

与我建议反对 YUI Compressor 的大多数其他答案相反； 您应该使用 Google Closure。

不是很多，因为它压缩得更多，但主要是因为它会捕获 JavaScript 错误，例如 a = [1,2,3,]; ，这些错误会使 IE 变得混乱。

Answer 12

我可以推荐 Patrick J. O'Neil 的 JavaScript Utility。 它可以混淆/压缩和压缩，并且似乎在这些方面非常擅长。 也就是说，我从未尝试将其集成到任何类型的构建脚本中。

至于混淆与缩小——我不太喜欢前者。 它使得调试变得不可能（第 1 行出现错误...“等等，只有一行”）并且它们总是需要时间来解压。 但如果你需要……好吧。

Answer 13

基于 Javascript 的非开源应用程序相当愚蠢。 Javascript 是一种客户端解释语言。混淆并没有太多保护。JS

混淆通常是为了减少脚本的大小，而不是“保护”它。 如果您不希望自己的代码公开，那么 Javascript 不是正确的语言。

周围有很多工具，但大多数工具中都包含“压缩器”（或“压缩器”）一词名字是有原因的..

Answer 14

您无法保护客户端代码：只需在 Google Chrome 上按 F12，暂停 JavaScript 执行，您就会获得所有字符串，甚至是加密的字符串。 美化它并重命名变量然后你将得到几乎原始的代码。

如果您正在编写服务器端 javascript（即 NodeJS），担心有人侵入您的服务器，并希望让黑客更加困难，让您有更多时间恢复访问权限，那么请使用 javacript 编译器>：

您需要在高级编译中使用闭包编译器，因为它是重命名所有变量的唯一工具，即使这些变量在多个文件/模块中使用。 但它有一个问题：只有当您按照编码风格编写时，它才有效。

Answer 15

我建议首先使用 YUI Compressor 之类的工具进行缩小，然后使用 http:// 之类的工具将所有字符串和数字转换为十六进制值www.javascriptobfuscator.com/

有了这个，代码将变得几乎无法理解，我认为在这个阶段，黑客重新制定你的代码将花费比实际重写的时间更多的时间划痕。 重写和克隆是你无法真正阻止的。 毕竟我们是自由人！

Answer 16

试试这个工具 Javascript Obfuscator

我在我的 HTML5 游戏中使用了它，不仅将其大小从 950KB 减小到了 150KB，而且还使源代码不可读 闭包编译器和压缩器是可逆的 我个人不知道如何扭转这种混淆。

Answer 17

Dean Edward's Packer 是一个出色的混淆器，尽管它主要混淆代码，而不是代码中可能包含的任何字符串元素。

请参阅：在线 Javascript 压缩工具，然后从下拉列表中选择 Packer (Dean Edwards)

Answer 18

我的印象是，一些企业（例如：JackBe）将加密的 JavaScript 代码放入 *.gif 文件中，而不是 JS 文件中，作为一种额外的混淆措施。

Answer 19

我已经使用 Jasob 多年了，它无疑是最好的混淆器。
它具有先进的用户界面，但仍然直观且易于使用。
它还将处理 HTML 和 CSS 文件。

使用它的最佳方法是在所有私有变量前添加下划线之类的前缀，然后使用sort功能将它们全部分组在一起并检查< /em> 将它们作为混淆的目标。

用户仍然可以查看您的源代码，但当您的私有变量从 _sUserPreferredNickName 转换为 a 时，破译会变得更加困难。

引擎将自动统计目标变量的数量并优先考虑它们以获得最大压缩。

我不为贾索布工作，我从推销他们中得不到任何好处，只是提供一些友好的建议。
缺点是它不是免费的，而且有点贵，但与其他选择相比仍然值得——“免费”选项甚至无法接近。

Answer 20

您尝试过 Bananascript 吗？ 它产生高度压缩且完全不可读的代码。

Answer 21

我正在使用 Closure-Compiler 实用程序进行 java 脚本混淆。 它缩小了代码并具有更多混淆选项。
此实用程序可通过以下 URL 的 Google 代码获取：
闭包工具

但现在我经常听到 UglifyJS。 您可以找到 Closure Compiler 和 UglifyJS 之间的各种比较，其中 Uglify 似乎是赢家。
UglifyJS：用于 Node 的快速新 JavaScript 压缩器.js 与闭包相当

很快我就会给 UglifyJS 机会。

Answer 22

作为 JavaScript/HTML/CSS 混淆器/压缩器，您还可以尝试 Patu Digua。