V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
推荐关注
Meteor
JSLint - a JavaScript code quality tool
jsFiddle
D3.js
WebStorm
推荐书目
JavaScript 权威指南第 5 版
Closure: The Definitive Guide
LeeReamond
V2EX  ›  JavaScript

各位前端工程师有没有什么通用的 JS 混淆的工具网站?

  •  
  •   LeeReamond · 2022-02-01 06:28:13 +08:00 · 2933 次点击
    这是一个创建于 1044 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如题,非常业余前端工程师,最近突然想混淆一下前端代码。

    一个需求场景是,比如进行 csrf 校验的时候,虽然每个 ID 的唯一 token 是由后端生成的,理论上我倒是完全不担心安全问题。但是为了减小后端压力,降低请求次数,一般每个账号绑定 token 只有前端框架刚加载的时候请求一次,后面前端繁杂的 api 各自的 token 都是基于这个 token 再次由前端二次生成的。

    感觉不混淆的话,代码明晃晃放在那里,别人 F12 一看好家伙你就加了个 MD5 ,有点叫人看破行藏的感觉,强迫症表示非常不爽啊。。

    6 条回复    2022-02-01 20:28:49 +08:00
    WildCat
        1
    WildCat  
       2022-02-01 08:14:02 +08:00
    即使能完全混淆 JavaScript ,对方通过 Network pane 也能看出你只请求了一次 csrf ,还是不太可行吧。

    感觉更好的方式是后端加 rate limit
    LeeReamond
        2
    LeeReamond  
    OP
       2022-02-01 09:55:41 +08:00
    @WildCat 当然是防君子不防小人,感觉对脚本小子多一层掣肘就满足需求了
    potatowish
        3
    potatowish  
       2022-02-01 11:49:01 +08:00 via iPhone
    试下这个,https://obfuscator.io/
    learningman
        4
    learningman  
       2022-02-01 13:09:18 +08:00
    建议在 webpack 混淆,每次手动换有点傻。。。
    Austaras
        5
    Austaras  
       2022-02-01 14:49:25 +08:00
    一般来说过一遍 terser 就够了,没必要特意做混淆
    kenvix
        6
    kenvix  
       2022-02-01 20:28:49 +08:00
    你是怎么生成 Token 的?每次一个 token 后端怎么会有压力?将 Token 存储下来了?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3016 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 11:02 · PVG 19:02 · LAX 03:02 · JFK 06:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.