React应用被二次打包后如何检测配置被篡改？

这个问题其实很典型，尤其是做企业级应用或者需要保护配置的场景。你现在的做法是用环境变量加签名校验，但对方能绕过，说明他们要么改了你的判断逻辑，要么直接 patch 了校验函数。根本原因是你在客户端做校验，而客户端代码一旦打包出来就是公开的，防君子不防小人。

我们一步一步来解决，目标不是“绝对防住”——说实话，前端打包后的代码不可能绝对防篡改，因为浏览器必须能执行它。但我们可以通过多层手段提高破解成本，让二次打包变得不划算。

第一步，先搞清楚攻击者是怎么绕过的

你现在在 App.js 里写了一个 if 判断，如果 origin 不对且签名不对就抛错。但别人反编译你的 build 文件后，完全可以：

- 直接删掉这个 if 块
- 把 validateSignature 函数改成 return true
- 或者把整个校验逻辑注释掉

所以你在客户端做的任何 JS 层面的判断，都可能被静态分析 + 修改字节码绕过。这不是你代码的问题，是前端安全的天然局限。

第二步，换思路：不要只依赖前端校验，要把关键验证放到后端

最可靠的方式是：所有敏感配置（比如 API 地址）不应该由前端决定，而是由可信后端下发，并带签名。

你可以这样做：

1. 前端启动时，向一个固定的、你控制的域名（比如 verify.yourcompany.com）发起一个验证请求
2. 这个请求带上当前页面的 origin、build 时间戳（可以放在环境变量里）、版本号等信息
3. 后端根据请求来源和预设策略判断是否合法，返回加密的 API 配置
4. 前端拿到后才设置真正的 API 地址

这样即使别人拿你代码重新打包，只要他不改请求地址，你的后端就知道是谁在请求；如果他连请求地址也改了，那他就拿不到真正的 API 配置。

来看个具体实现：

// 在入口文件，比如 index.js 或 App.js 开头

async function getApiConfig() {

  const buildId = process.env.REACT_APP_BUILD_ID; // 打包时生成的唯一 ID

  const version = process.env.REACT_APP_VERSION;

  const currentOrigin = window.location.origin;



  try {

    const response = await fetch('https://verify.yourcompany.com/auth', {

      method: 'POST',

      headers: { 'Content-Type': 'application/json' },

      body: JSON.stringify({ buildId, version, currentOrigin }),

      mode: 'cors'

    });



    const data = await response.json();



    if (!response.ok || !data.valid) {

      // 如果验证失败，跳转到警告页或直接 blank

      window.location.href = 'https://yourcompany.com/unauthorized';

      return null;

    }



    // 返回从服务端签发的 API 地址（带签名）

    return data.apiUrl;

  } catch (error) {

    console.error('配置获取失败，疑似非法环境', error);

    alert('应用环境异常，请使用官方版本');

    return null;

  }

}

然后你的应用启动要等这个配置：

function App() {

  const [apiUrl, setApiUrl] = useState(null);



  useEffect(() => {

    const loadConfig = async () => {

      const url = await getApiConfig();

      if (url) {

        setApiUrl(url); // 后续请求都用这个 url

      }

    };

    loadConfig();

  }, []);



  if (!apiUrl) {

    return 
加载中...
; // 或错误页

  }



  return (

    

  );

}

第三步，增加前端混淆和反调试，提升逆向成本

虽然不能防住所有人，但可以让破解者多花点时间。比如：

- 使用 Webpack + Terser 进行深度混淆
- 加入反调试代码，检测是否打开 devtools

例如加一段反调试：

// 反调试：检测开发者工具

(function checkDevTools() {

  let start = new Date().toString();

  document.documentElement.appendChild(document.createElement('iframe')).setAttribute('style', 'display:none;');

  let element = document.querySelector('iframe');

  let doc = element.contentWindow.document;

  doc.open();

  doc.write('');

  doc.close();

  let end = new Date().toString();

  if (start !== end) {

    // 时间差异常，可能是 devtools 打开了

    setTimeout(() => {

      debugger;

      throw new Error('非法调试');

    }, 1000);

  }

  document.documentElement.removeChild(element);

})();

再配合 webpack 的 TerserPlugin 混淆变量名：

// webpack.config.js

const TerserPlugin = require("terser-webpack-plugin");



module.exports = {

  optimization: {

    minimize: true,

    minimizer: [

      new TerserPlugin({

        terserOptions: {

          compress: {

            drop_console: true,

            drop_debugger: true

          },

          mangle: true,

          format: { comments: false }

        },

        extractComments: false

      })

    ]

  }

};

第四步，构建时注入不可变指纹

你可以在 CI/CD 打包时，自动生成一个 build fingerprint，包含：

- 构建时间
- Git commit hash
- 签名密钥（从环境变量读取，不在代码里）

然后把这个指纹写进 public/build-info.json，前端运行时加载它，并发送给验证服务器。

# 在 build 脚本中

echo "{"buildId": "$BUILD_ID", "commit": "$GIT_COMMIT", "timestamp": "$TIMESTAMP", "signature": "$(echo -n "$BUILD_ID" | openssl dgst -sha256 -hmac "$HMAC_SECRET")"}" > public/build-info.json

然后前端读这个文件做校验：

const response = await fetch('/build-info.json');

const buildInfo = await response.json();

// 发送给验证服务器

第五步，监控 + 响应机制

你还可以记录哪些 origin 在请求配置，一旦发现陌生域名（比如 someone-else.net），就告警甚至封禁 buildId。

总结一下

你原来的方案失败是因为把信任放在了客户端。真正可靠的方案是：

1. 敏感配置由后端动态下发，而不是前端自己定义
2. 前端每次启动都要向可信服务器验证环境合法性
3. 配合代码混淆、反调试、构建指纹，增加破解难度
4. 做好监控，及时发现非授权使用

最后说句实话：没有绝对安全的前端。但只要你让破解的成本远高于收益，大多数人就会放弃。你现在要做的不是“防住”，而是“劝退”。

如果你真想彻底防止二次打包，唯一的办法是：别开源核心配置逻辑，或者把前端也当成私有部署的一部分。

环境变量在打包后确实没法绝对防篡改，因为webpack之类的打包工具会把环境变量直接替换成字符串，所以只要代码开源，别人就能轻易修改。你现在的校验逻辑太简单了，MD5这种哈希方式很容易被绕过。

如果想更可靠点，可以试试以下方案：

1. **服务端校验**：把签名验证移到后台，前端只传一个加密后的token给后端校验
2. **动态加载关键配置**：不要把API地址硬编码或用环境变量，改成从后端拉取

直接用这个改进版代码：

// App.js

const fetchConfig = async () => {

  const response = await fetch('https://your-trusted-server.com/api/config');

  const { apiUrl, signature } = await response.json();



  if (!validateSignatureWithServer(signature)) {

    throw new Error('配置被篡改');

  }



  return apiUrl;

};



function validateSignatureWithServer(sig) {

  // 这里调用后端接口校验签名合法性

  return fetch(/api/verify?sig=${sig}).then(res => res.json()).then(data => data.valid);

}



fetchConfig().then(apiUrl => {

  window.REACT_APP_API_URL = apiUrl;

}).catch(err => {

  console.error(err);

  alert('应用配置异常，请联系管理员');

});

重点是：
- 前端只负责加载，不做关键校验
- 核心逻辑和服务端配合完成
- 别指望前端能完全防篡改，最多增加难度

不过说真的，要是对方真有心要改，还是能绕过。这玩意儿就跟防盗链似的，做个门槛而已。