试试这个工具Javascript混淆器

我在自己的HTML5游戏中使用了它，不仅将其大小从950KB减少到150 kb，而且还使源代码不可读闭包编译器和迷你器是可逆转的，我个人不知道如何扭转这种混乱。

你不能保护客户端代码:只需在谷歌Chrome上按F12，暂停javascript执行，你就会得到所有的字符串，即使是那些加密的。美化它和重命名变量，你会得到几乎原始的代码。

如果你正在编写服务器端javascript(即NodeJS)，害怕有人入侵你的服务器，并想让黑客的工作更加困难，给你更多的时间来取回你的访问权限，那么使用javacript编译器:

你需要在高级编译中使用闭包编译器，因为它是唯一重命名所有变量的工具，即使这些变量在多个文件/模块中使用。但它有一个问题:它只有在你用它的编码风格写的时候才能工作。

JScrambler试试。最近我试了一下，印象深刻。 它为那些不太关心细节，只想快速完成的人提供了一组模板，用于混淆预定义的设置。您还可以通过选择任何您想要的转换/技术来创建自定义混淆。

解释型语言的问题在于，你要发送源代码才能让它们工作(除非你有一个字节码的编译器，但话说回来，反编译是相当简单的)。

因此，如果您不想牺牲性能，您只能对变量和函数名进行操作，例如。用a, b…aa、ab……或者a101 a102等等。当然，尽可能多地删除空间/换行符(这就是所谓的JS压缩器所做的)。 如果您必须实时加密和解密字符串，那么混淆字符串将会对性能造成影响。加上一个JS调试器可以显示最终值…

我会做什么:

A.攻击黑客!

这将是在第二部分我的假/混淆秘密javascript代码启动器。 你在源代码中看到的那个。

这个代码是什么?

加载真正的代码 设置自定义标头 发布一个自定义变量

---

var ajax=function(a,b,d,c,e,f){
 e=new FormData();
 for(f in d){e.append(f,d[f]);};
 c=new XMLHttpRequest();
 c.open('POST',a);
 c.setRequestHeader("Troll1","lol");
 c.onload=b;
 c.send(e);
};
window.onload=function(){
 ajax('Troll.php',function(){
  (new Function(atob(this.response)))()
 },{'Troll2':'lol'});
}

B.稍微混淆一下代码

那是什么?

这与上面在base64中的代码相同 这不是SECRET javascript代码

---

(new Function(atob('dmFyIGFqYXg9ZnVuY3Rpb24oYSxiLGQsYyxlLGYpe2U9bmV3IEZvcm1EYXRhKCk7Zm9yKGYgaW4gZCl7ZS5hcHBlbmQoZixkW2ZdKTt9O2M9bmV3IFhNTEh0dHBSZXF1ZXN0KCk7Yy5vcGVuKCdQT1NUJyxhKTtjLnNldFJlcXVlc3RIZWFkZXIoIlRyb2xsMSIsImxvbCIpO2Mub25sb2FkPWI7Yy5zZW5kKGUpO307d2luZG93Lm9ubG9hZD1mdW5jdGlvbigpe2FqYXgoJ1Ryb2xsLnBocCcsZnVuY3Rpb24oKXsgKG5ldyBGdW5jdGlvbihhdG9iKHRoaXMucmVzcG9uc2UpKSkoKX0seydUcm9sbDInOidsb2wnfSk7fQ==')))()

创建一个难以显示的php文件，里面有真正的代码

这个php代码是什么?

检查正确的引用器(启动器的域/目录/代码) 检查自定义HEADER 检查自定义POST变量

如果一切正常，它会显示给你正确的代码，否则一个假代码或禁止ip，关闭页面。无论什么。

<?php
$t1=apache_request_headers();
if(base64_encode($_SERVER['HTTP_REFERER'])=='aHR0cDovL2hlcmUuaXMvbXkvbGF1bmNoZXIuaHRtbA=='&&$_POST['Troll2']=='lol'&&$t1['Troll1']='lol'){
 echo 'ZG9jdW1lbnQuYm9keS5hcHBlbmRDaGlsZChkb2N1bWVudC5jcmVhdGVFbGVtZW50KCdkaXYnKSkuaW5uZXJUZXh0PSdBd2Vzb21lJzsNCg==';//here is the SECRET javascript code
}else{
 echo 'd2luZG93Lm9wZW4oJycsICdfc2VsZicsICcnKTt3aW5kb3cuY2xvc2UoKTs=';
};
?>

Base64 referrer = http://here.is/my/launcher.html

SECRET javascript = document.body.appendChild(document.createElement('div')).innerText='Awesome';

FAKE =窗口。Open ("， '_self'， ");

现在. .如果你在SECRET javascript中定义事件处理程序，它可能是可访问的。你需要在外面用launchcode定义它们，并指向一个嵌套的SECRET函数。

所以…有什么简单的方法可以拿到密码吗? document.body.appendChild (document.createElement (div)) .innerText =“棒极了”;

我不确定这是否有效，但我使用chrome和检查元素，资源，网络，资源，时间轴，配置文件，审计，但我没有找到上面的行。

注1:如果你在chrome中从Inspect element->network中打开Troll.php url，你会得到假代码。

注2:整个代码是为现代浏览器编写的。Polyfill需要更多的代码。

编辑

launcher.html

<!doctype html><html><head><meta charset="utf-8"><title></title><script src="data:application/javascript;base64,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"></script></head><body></body></html>

Troll.php

<?php $t1=apache_request_headers();if(/*base64_encode($_SERVER['HTTP_REFERER'])=='PUT THE LAUNCHER REFERER HERE'&&*/$_POST['Troll2']=='lol'&&$t1['Troll1']='lol'){echo 'ZG9jdW1lbnQuYm9keS5hcHBlbmRDaGlsZChkb2N1bWVudC5jcmVhdGVFbGVtZW50KCdkaXYnKSkuaW5uZXJUZXh0PSdBd2Vzb21lJzsNCg==';}else{echo 'd2luZG93Lm9wZW4oJycsICdfc2VsZicsICcnKTt3aW5kb3cuY2xvc2UoKTs=';}; ?>

混淆永远不会真正起作用。对于任何真正想要获取您代码的人来说，这只是一个减速带。更糟糕的是，它使您的用户无法修复错误(并将修复文件发送给您)，并且使您更难在该领域诊断问题。这是浪费你的时间和金钱。

和律师谈谈知识产权法以及你的法律选择。“开源”并不意味着“人们可以阅读源代码”。相反，开源是一种特定的许可模型，允许自由使用和修改您的代码。如果您不授予这样的许可证，那么复制您的代码的人就是违法的，(在世界上大多数地区)您可以通过法律手段阻止他们。

真正能保护代码的唯一方法是不发布它。将重要的代码移到服务器端，并让公共Javascript代码对其进行Ajax调用。

点击这里查看我关于混淆器的完整回答。