【代码混淆】js项目 javascript-obfuscator - 以小程序、uniapp为例
【代码混淆】js项目 javascript-obfuscator - 以小程序、uniapp为例
背景
本人平时会在放假期间写一些小程序拿去出售,个人爱好使然,那么前端代码混淆十分重要(无法加密,加密意味着需要解密,让浏览器给你解密么)。
使用javascript-obfuscator混淆
- 安装
// 安装
npm install javascript-obfuscator -g
// 查看版本
javascript-obfuscator -v- 使用
最简单的用法是javascript-obfuscator a.js
上面命令表示,使用默认配置对 a.js 执行混淆,结果输出到默认文件 a-obfuscated.js。
也可以根据需求修改配置,从而调整混淆强度,主要有以下几个重要参数。
controlFlowFlattening
默认 false。设为 true,表示开启代码控制流展平,这是源代码的一种结构转换,使代码增大且变得难以理解。
controlFlowFlatteningThreshold
和
controlFlowFlattening配合,表示代码控制流展平的概率,此设置对于大代码影响较大,大量的控制流转换会减慢代码速度并增加代码大小。controlFlowFlatteningThreshold的值范围是从0到1,如果为0等同于controlFlowFlattening为false。
deadCodeInjection
默认false。设为true,表示将添加随机废代码到被混淆代码中。该选项会显著增加代码大小(高达200%)
deadCodeInjectionThreshold
设置废代码注入的百分比。值范围是从0到1,如果为0等同于
deadCodeInjection为false。此选项强制启用stringArray选项。
stringArray
删除字符串文字并将其放置在特殊数组中。例如,var m=“Hello World”中的字符串“Hello World”,将被替换为var m=x12c456[0x1];
stringArrayEncoding
使用
base64或rc4对stringArray影响的所有字符串文本进行编码,并插入用于在运行时对其进行解码的特殊代码。此选项会减慢脚本的速度。
stringArrayThreshold
此设置调整将字符串文本插入
stringArray的概率(从0到1)。
示例:
一个中等混淆强度的配置选项如下,它会使性能降低约30-50%,代码体积增加约300%。
{
"compact": true,
"controlFlowFlattening": true,
"controlFlowFlatteningThreshold": 0.75,
"deadCodeInjection": true,
"deadCodeInjectionThreshold": 0.4,
"debugProtection": false,
"debugProtectionInterval": false,
"disableConsoleOutput": true,
"identifierNamesGenerator": "hexadecimal",
"log": false,
"renameGlobals": false,
"rotateStringArray": true,
"selfDefending": true,
"stringArray": true,
"stringArrayEncoding": "base64",
"stringArrayThreshold": 0.75,
"unicodeEscapeSequence": false
}将上述配置选项,保存为文件 test.json,并指定输出结果到 b.js,输入
javascript-obfuscator a.js --config test.json --output b.js
上面命令表示, javascript-obfuscator将会使用test.json指定的配置,对 a.js 执行混淆,结果输出到 b.js。
混淆示例
- 先编译成小程序源码,比如uniapp编译后的dev代码位于
/yourproject/dist/dev/mp-weixin - 进入项目根目录
cd /yourproject/dist/dev/ - 执行混淆(可以参考上文设置配置文件)
javascript-obfuscator ./mp-weixin --output ./mp-weixin
注意:执行混淆要输出到原目录进行覆盖,因为他会过滤掉非JS文件
