Wie kann ich JavaScript verschleiern (schützen)?

Question

Ich möchte eine JavaScript-Anwendung erstellen, die nicht quelloffen ist, und daher möchte ich lernen, wie ich meinen JS-Code verschleiern kann? Ist das möglich?

Answer 1

Verschleierung:

Versuchen Sie YUI-Kompressor . Es ist ein sehr beliebtes Tool, das vom Yahoo UI-Team entwickelt, verbessert und gepflegt wird.

~~

Sie können auch verwenden:

~~

* Google Closure Compiler* UglifyJS

UPDATE: This question was originally asked on 2008, and The mentioned technologies are deprecated. you can use:

• terser - mehr Informationen unter web.dev .

Private String-Daten:

Die Geheimhaltung von Zeichenkettenwerten ist ein anderes Thema, und die Verschleierung ist nicht wirklich von großem Nutzen. Wenn Sie Ihren Quellcode in ein verstümmeltes, verkleinertes Chaos verpacken, haben Sie natürlich eine Light-Version von Sicherheit über Unklarheit . Meistens ist es Ihr Benutzer, der den Quelltext anschaut, und die Zeichenkettenwerte auf dem Client sind für seine Verwendung bestimmt, so dass diese Art von privaten Zeichenkettenwerten nicht oft notwendig ist.

Wenn Sie wirklich einen Wert haben, den ein Benutzer niemals sehen soll, haben Sie mehrere Möglichkeiten. Erstens könnten Sie eine Art Verschlüsselung vornehmen, die beim Laden der Seite entschlüsselt wird. Das wäre wahrscheinlich eine der sichersten Optionen, aber auch eine Menge Arbeit, die vielleicht unnötig ist. Sie könnten wahrscheinlich einige String-Werte mit base64 kodieren, was einfacher wäre, aber jemand, der diese String-Werte wirklich haben möchte, könnte sie leicht entschlüsseln . Verschlüsselung ist die einzige Möglichkeit, wirklich zu verhindern, dass jemand auf Ihre Daten zugreift, und die meisten Menschen finden, dass dies mehr Sicherheit bedeutet, als sie brauchen.

Sidenote:

Die Verschleierung in Javascript ist dafür bekannt, dass sie einige Fehler verursacht. Die Obfuskatoren werden ein wenig besser, aber viele Firmen sehen genug Nutzen in der Verkleinern y gzipping und die zusätzlichen Einsparungen durch Verschleierung ist nicht immer die Mühe wert . Wenn Sie versuchen, Ihren Quellcode zu schützen, werden Sie vielleicht feststellen, dass es sich lohnt, Ihren Code schwerer lesbar zu machen. JSMin ist eine gute Alternative.

Answer 2

Ich bin überrascht, dass noch niemand Googles Verschluss-Compiler . Es wird nicht nur verkleinert/komprimiert, sondern auch analysiert, um ungenutzten Code zu finden und zu entfernen, und für maximale Verkleinerung umgeschrieben. Es kann auch eine Typüberprüfung durchführen und warnt vor Syntaxfehlern.

JQuery hat vor kurzem von YUI Compresser auf Closure Compiler umgestellt und sah eine " deutliche Verbesserung "

Answer 3

Eine Verschleierung kann nie wirklich funktionieren. Für jeden, der wirklich an Ihren Code herankommen will, ist es nur ein Hindernis. Schlimmer noch, sie hält Ihre Benutzer davon ab, Fehler zu beheben (und die Korrekturen an Sie zurückzuschicken), und erschwert es Ihnen, Probleme vor Ort zu diagnostizieren. Es ist eine Verschwendung von Zeit und Geld.

Sprechen Sie mit einem Anwalt über das Recht des geistigen Eigentums und Ihre rechtlichen Möglichkeiten. "Offene Quelle" bedeutet nicht, dass die Leute den Quelltext lesen können". Open Source ist vielmehr ein bestimmtes Lizenzmodell, das die freie Nutzung und Veränderung Ihres Codes erlaubt. Wenn Sie eine solche Lizenz nicht gewähren, verstößt derjenige, der Ihren Code kopiert, gegen das Gesetz und Sie haben (in den meisten Ländern der Welt) rechtliche Möglichkeiten, dies zu verhindern.

Der einzige Weg, wie Sie Ihren Code wirklich schützen können, ist, ihn nicht zu versenden. Verschieben Sie den wichtigen Code auf die Serverseite und lassen Sie Ihren öffentlichen Javascript-Code Ajax-Aufrufe dazu ausführen.

Lesen Sie meine vollständige Antwort über Verschleierungsmittel hier.

Answer 4

Sie können den Javascript-Quellcode verschleiern, wie Sie wollen, aber es wird immer Reverse-Engineerable sein, nur weil der gesamte Quellcode auf dem Client-Rechner ausgeführt werden muss ... die beste Option, die ich mir vorstellen kann, ist, die gesamte Verarbeitung mit serverseitigem Code durchzuführen, und alles, was der Client-Code-Javascript tut, ist, Anfragen zur Verarbeitung an den Server selbst zu senden. Andernfalls wird jeder immer in der Lage sein, alle Operationen zu verfolgen, die der Code ausführt.

Jemand erwähnte base64, um Strings sicher zu halten. Das ist eine schreckliche Idee. Base64 ist für die Leute, die Ihren Code zurückentwickeln wollen, sofort erkennbar. Das erste, was sie tun werden, ist ihn zu entschlüsseln und zu sehen, was er ist.

Answer 5

Es gibt eine Reihe von JavaScript-Verschleierungs-Tools, die frei verfügbar sind; ich denke jedoch, es ist wichtig zu beachten, dass es schwierig ist, JavaScript so weit zu verschleiern, dass es nicht zurückentwickelt werden kann.

Zu diesem Zweck gibt es mehrere Optionen, die ich im Laufe der Zeit bis zu einem gewissen Grad genutzt habe:

• YUI-Kompressor . Der JavaScript-Kompressor von Yahoo! leistet gute Arbeit bei der Verdichtung des Codes, wodurch die Ladezeit verbessert wird. Es gibt eine kleine Stufe der Verschleierung, die relativ gut funktioniert. Im Wesentlichen ändert Compressor die Funktionsnamen, entfernt Leerzeichen und ändert lokale Variablen. Das ist das, was ich am häufigsten verwende. Es handelt sich um ein Open-Source-Tool auf Java-Basis.

• JSMin ist ein von Douglas Crockford geschriebenes Werkzeug, das Ihren JavaScript-Quellcode minimieren soll. In Crockfords eigenen Worten: "JSMin verschleiert nicht, aber es verschlimmbessert." Sein Hauptziel ist es, die Größe Ihres Quelltextes zu verringern, damit er schneller in den Browsern geladen werden kann.

• Kostenloser JavaScript-Obfuskator . Dies ist ein webbasiertes Tool, das versucht, Ihren Code zu verschleiern, indem es ihn tatsächlich verschlüsselt. Ich denke, dass die Vorteile dieser Form der Verschlüsselung (oder Verschleierung) auf Kosten der Dateigröße gehen könnten; das ist jedoch eine Frage der persönlichen Präferenz.