代码混淆后如何检测JavaScript中的代码完整性?
最近在给项目加代码混淆,但发现混淆后的代码每次构建都不同,之前用的文件哈希校验方法完全失效了。想请教下大家,有没有什么方法能既保持代码混淆,又能检测代码是否被非法篡改?
我之前是这样校验的:if (currentHash !== originalHash) alert('代码被篡改'),但现在混淆后的代码每次打包生成的字符串都不一样,连正则替换关键函数名都试过,但测试环境被人动了代码的话还是没法及时发现。
试过在混淆配置里固定seed值,用了webpack-obfuscator的seed: 12345参数,但发现不同版本的构建工具生成结果还是不一致。有没有什么更可靠的代码完整性校验方案,或者混淆时保留特定验证标记的方法?
const obfuscatorConfig = {
stringArray: true,
selfDefending: true,
rotateStringArray: true,
// 尝试固定seed但没解决根本问题
seed: Date.now()
};
- 2
回答
97浏览
V8引擎中如何优化JavaScript代码性能?
最近在研究怎么让我的网页加载速度更快,听说可以通过优化JavaScript代码来减少V8引擎的执行时间。我尝试过合并小文件、减少DOM操作次数这些方法,但效果不明显。 有没有什么更具体的关于V8引擎的...
- 1
回答
9浏览
混淆后的JavaScript代码怎么还是能被反编译还原?
我在项目里用terser做了代码混淆,但用在线反编译工具居然能轻松还原核心函数逻辑。比如这个加密函数: function encryptData(data) { const key = 'secret...
- 2
回答
14浏览
控制流扁平化后代码逻辑失效,如何排查?
我用javascript写了个按钮点击计数器,用控制流扁平化工具混淆后,点击事件突然不响应了。原生代码没问题,但混淆后的逻辑看起来像被插入了很多空函数和条件分支,控制台没报错就是不执行计数: <...
- 1
回答
42浏览
代码混淆后函数名变成乱码,但运行时报错找不到原始函数名怎么办?
我在用JavaScript的代码混淆工具处理一段代码时遇到问题。混淆后的函数名都变成了标签?
- 2
回答
27浏览
Chromely中如何在JavaScript中调用C#方法时获取返回值?
我在用Chromely开发桌面应用时遇到了问题,通过JavaScript调用C#方法总得不到返回值。比如这样写的代码: chromely.invoke('GetData').then(data =&g...
- 1
回答
60浏览
WebView暴露JavaScript接口后如何防范XSS攻击?
我在开发Android混合应用时,通过WebView的addJavascriptInterface暴露了一个本地方法,但测试时发现可以通过XSS注入执行任意JS。尝试过设置webView.getSet...
- 1
回答
50浏览
代码混淆后如何验证前端代码的完整性?
在用Webpack和terser做代码混淆时,我总担心混淆后的代码被篡改。之前尝试用文件hash比对,但发现每次构建生成的混淆代码hash都不一样,这该怎么验证代码完整性呢? 比如我配置了这样的优化选...
- 1
回答
26浏览
用户输入的javascript:伪协议怎么防不住XSS?
在React项目里处理用户提交的留言内容时,发现如果用户输入类似javascript:alert(1)这样的内容,直接渲染后居然真的会执行脚本。虽然用了DOMPurify清理和转义特殊字符,但测试输入...
- 2
回答
48浏览
React项目中集成XMind JavaScript API时报错’XMind未定义’怎么办?
最近在做一个需要导出XMind格式思维导图的React项目,按官方文档引入了他们的JavaScript API,但总报错说'XMind is not defined'。 我尝试在public/inde...
- 2
回答
56浏览
React项目中Android WebView调用JavaScript方法在部分机型失效?
在开发H5页面时遇到个奇怪问题,通过React组件调用Android WebView的JavaScript接口,在Android 10以下机型能正常触发,但到了Android 11及以上就直接失效了。...
应该用这种方案更靠谱:
别忘了把
__verify加到混淆工具的保留名单里,这样它就不会被重命名或修改。