JavaScript 混淆与反混淆

JavaScript 混淆与反混淆

JavaScript 混淆与反混淆旨在保护 JS 代码，防止逆向工程与代码盗用。这种保护手段在早期因代码功能简单、体积小而不需要。随着技术发展，JS 承载更多功能，文件体积增大，优化用户体验时，通过压缩减小体积，间接起到保护作用。然而，压缩技术对安全保护效果有限，于是出现了 JS 加密与混淆技术。

混淆技术通过一系列手段使代码复杂、难以理解和分析，阻碍逆向工程。混淆与加密相辅相成，混淆为加密提供基础，未经混淆的加密代码保护意义不大。混淆手段多种多样，实现反调试功能，可阻止他人调试代码。前端开发中，混淆与压缩技术用于优化代码和安全性，常用工具如 UglifyJS 和 JavaScript Obfuscator。

混淆通常在构建过程中自动执行，例如使用 Vite 作为模块打包工具，添加 UglifyJS 插件，代码自动混淆。在线混淆工具如 Free JavaScript Obfuscator 提供混淆代码服务。

反混淆是指还原混淆后的代码，恢复其可读性。Deobfuscator 通过静态分析与动态分析实现代码还原。混淆只能降低代码可读性，但不能完全避免逆向攻击，反混淆也难以完全还原混淆代码。

在线反混淆工具如开发者工具提供了源代码与网络模块，帮助查找 API 调用与 JS 代码，辅助代码还原。开发者工具的搜索与替换功能简化反混淆过程。静/动态调试用于逆网页 JS 代码，以百度翻译接口为例，通过开发者工具分析参数生成过程，找到关键函数与参数值。

实战百度翻译接口与掘金登录接口展示了逆向工程过程，通过分析请求报文、代码片段与参数动态变化，找到 sign、account、password 等参数生成逻辑。HGAME2024 2048*16 题目考察了禁用 F12、反调试与 JS 反混淆，全面考察技能。2024-11-06