如何让 JS 代码变的安全？

本文分享自天翼云开发者社区《如何让JS代码变的安全？》，作者：温****双

前端 JS 代码，直接暴露在浏览器中，任何访问者，都可以随意查看代码。这就导致代码可以被分析、复制、盗用等，进而引发安全问题，如被利用代码 bug 攻击、揭露功能逻辑、复制出雷同应用等等。

对 JS 代码进行保护：混淆 &加密，使代码不可读。即：它人依然可以看到代码，但看到的是加密的代码、无法理解代码，更无法修改。通过混淆加密，使代码变的难以阅读和理解。

如果说混淆后机器能执行，人就能理解，只是需要的时间长短问题。这种极端的说法，从理论上来说没错，如果可以投入足够长的时间，程序员甚至可以直接用 0101 写代码。而从实际角度而言，一段代码如果保护后分析需要的时长，超过开发需要的时长，保护的目的就达到了，就会劝退 99.9999%对它有想法的正常人类。

从技术上说用 JS 编程实现对 JS 代码混淆加密。Eval 思路不可用：可以被下断点调试或 API HOOK，而轻松还原出原始代码。可逆加密方式不可用：加密方式可逆，则必然有解密函数，只需定位于解密出口，即可得到原始代码。异步代码获取并执行不可用：同样可被调试或 hook，得到代码。可取的方式：代码混淆+数据加密。

混淆原理是非 replace 或 regexp 方式字符串替换，而是对 JS 源码进行重编译。从源码，进行词法分析、语法分析、得到 AST（抽象语法树），此处是重点，得到 AST 后，在 AST 中执行关键混淆加密操作，如：字符算阵列化、字符加密、平展控制流、僵尸代码值入、反调试埋雷、花指令插入等，最后，再将 AST 重建为 JS 代码。这样就得到了一份被更改的面目全非的安全 JS 代码：不可读、不可理解、不可修改、不可还原。