關(guān)鍵要點(diǎn)

• JavaScript的流行和易用性，加上開(kāi)源庫(kù)的可用性，提高了它的開(kāi)發(fā)潛力，但也增加了安全漏洞的風(fēng)險(xiǎn)。
• JavaScript的解釋型特性和廣泛使用帶來(lái)了安全挑戰(zhàn)。它的代碼在運(yùn)行時(shí)執(zhí)行，這意味著任何下載基於JavaScript的軟件的人都能夠完全訪問(wèn)代碼，這可能為黑客提供一個(gè)可乘之機(jī)。
• JavaScript混淆是客戶(hù)端JavaScript安全中的一個(gè)關(guān)鍵工具。它涉及轉(zhuǎn)換和重新排列代碼，使其難以閱讀和理解，同時(shí)保留其功能，從而提供一層防止篡改和盜竊的保護(hù)。
• 選擇合適的混淆程序至關(guān)重要。需要考慮的因素包括下載來(lái)源的聲譽(yù)、與現(xiàn)有庫(kù)的兼容性、提供的保護(hù)的彈性以及超越混淆的附加功能，例如性能優(yōu)化或反調(diào)試技術(shù)。

本文由JScrambler提供。感謝您支持使SitePoint成為可能的合作夥伴。

如今，無(wú)論您走到哪裡，都一定會(huì)看到一些至少部分使用JavaScript創(chuàng)建的東西。原因之一是JavaScript非常易於學(xué)習(xí)和使用。另一個(gè)原因與易於集成、開(kāi)源庫(kù)（如jQuery、React.js、Backbone.js、Angular.js和Ember.js）的廣泛可用性有關(guān)。總而言之，這極大地提高了開(kāi)發(fā)潛力。擁有出色應(yīng)用程序創(chuàng)意的人並不一定需要成為開(kāi)發(fā)人員或僱用開(kāi)發(fā)人員才能將這些創(chuàng)意變?yōu)楝F(xiàn)實(shí)。當(dāng)然，這種易於開(kāi)發(fā)也增加了安全漏洞的風(fēng)險(xiǎn)，因?yàn)檫@些庫(kù)可以被包含和使用，而無(wú)需了解底層真正發(fā)生的情況。

JavaScript安全

在JavaScript安全方面，基本上有兩種思路：一種是保護(hù)您的代碼免受黑客攻擊的問(wèn)題，另一種是從專(zhuān)有角度進(jìn)行保護(hù)——防止您的代碼被篡改或盜竊。

服務(wù)器端託管。傳統(tǒng)上，代碼保護(hù)意味著盡可能多地將代碼存儲(chǔ)在服務(wù)器上。這可以保護(hù)您的代碼免受窺探，並且還可以讓服務(wù)器在性能方面承擔(dān)繁重的工作。這在今天仍然適用，但它遠(yuǎn)非一勞永逸的解決方案。將代碼存儲(chǔ)在服務(wù)器上確實(shí)提供了最佳保護(hù)，但它也有一些缺點(diǎn)。一個(gè)缺點(diǎn)是它意味著您正在強(qiáng)制進(jìn)行互聯(lián)網(wǎng)連接。這並不總是問(wèn)題，但如果您正在開(kāi)發(fā)想要離線工作的應(yīng)用程序，則不可行。另一個(gè)考慮因素是性能。服務(wù)器調(diào)用需要時(shí)間。對(duì)於簡(jiǎn)單的應(yīng)用程序來(lái)說(shuō)，這不是一個(gè)大問(wèn)題，但對(duì)於像遊戲這樣的高性能應(yīng)用程序來(lái)說(shuō)，這可能是一個(gè)問(wèn)題，因?yàn)檫^(guò)多的延遲會(huì)破壞用戶(hù)體驗(yàn)。

為什麼加密不起作用。許多人提出的一個(gè)不可避免的問(wèn)題是：“為什麼我不能只加密我的文件？”這是一個(gè)很好的想法。真的。問(wèn)題在於它並非如此。您可以加密文件，但它們對(duì)瀏覽器沒(méi)有任何用處。您需要解密它們才能使它們對(duì)瀏覽器可讀，這使您又回到了起點(diǎn)。

JavaScript無(wú)處不在

JavaScript是一種功能非常強(qiáng)大的語(yǔ)言，但在安全方面也存在一個(gè)明顯的缺陷：它是一種解釋型語(yǔ)言。 JavaScript代碼不是在分發(fā)前編譯成機(jī)器代碼，而是在運(yùn)行時(shí)執(zhí)行。當(dāng)然，這也意味著，默認(rèn)情況下，幾乎所有下載基於JavaScript的軟件的人都將完全訪問(wèn)驅(qū)動(dòng)它的代碼。 JavaScript現(xiàn)在甚至能夠在Web瀏覽器的界限之外運(yùn)行，這一事實(shí)使得安全成為一個(gè)更重要的主題，即使僅僅是因?yàn)榇罅课淳幾g代碼的存在。在瀏覽器中，JavaScript通常是“沙盒化”的，這意味著除非存在某些缺陷，否則它對(duì)您的系統(tǒng)相對(duì)安全。但是，現(xiàn)在有很多具有標(biāo)準(zhǔn)化API的框架，例如PhoneGap、Cordova、Node Webkit等等，它們?cè)试SJavaScript與本機(jī)系統(tǒng)API交互。這些為JavaScript應(yīng)用程序開(kāi)發(fā)人員提供了很大的靈活性和功能。例如，您可以編寫(xiě)HTML5和JavaScript桌面軟件，該軟件能夠讀取和寫(xiě)入硬盤(pán)驅(qū)動(dòng)器上的文件，或者以其他方式使用您的本機(jī)系統(tǒng)功能，例如允許訪問(wèn)您的相機(jī)、電話信息、wifi、藍(lán)牙、GPS等等。將所有這些加在一起，就為潛在的黑客提供了一個(gè)相當(dāng)大的源代碼遊樂(lè)場(chǎng)。

JavaScript混淆的作用是什麼？

在客戶(hù)端JavaScript安全方面，開(kāi)發(fā)人員無(wú)法確保100%的保護(hù)。也就是說(shuō)，JavaScript混淆在這裡發(fā)揮了作用。混淆是系統(tǒng)地檢查您的代碼、轉(zhuǎn)換和重新排列它的過(guò)程，其目標(biāo)是使其幾乎無(wú)法用肉眼閱讀和理解，但同時(shí)保留其功能。 （注意：縮小與混淆不同，您可以輕鬆地從縮小後的代碼中檢索原始代碼。）儘管它有其局限性，但除了將所有代碼鎖定在服務(wù)器上之外，混淆是開(kāi)發(fā)人員保護(hù)其JavaScript代碼的最佳選擇。但並非所有混淆都真正保護(hù)您的代碼。

選擇合適的JavaScript混淆器及其他

面對(duì)數(shù)十種混淆程序，您如何選擇適合自己的程序？選擇時(shí)，請(qǐng)考慮以下幾點(diǎn)。

下載來(lái)源。可能最重要的考慮因素是您下載軟件的來(lái)源。這條建議應(yīng)該適用於您從網(wǎng)絡(luò)下載的幾乎所有內(nèi)容。始終檢查您下載來(lái)源的聲譽(yù)。在“為什麼免費(fèi)混淆器並不總是免費(fèi)的”中，Peter Gramantik描述了他使用“免費(fèi)”JavaScript混淆器的經(jīng)歷。他描述了代碼是如何被混淆的，但程序也將其自身的惡意代碼插入其中。如果他沒(méi)有反混淆代碼來(lái)查看真正發(fā)生了什麼，他就永遠(yuǎn)不會(huì)注意到它。故事的寓意：始終對(duì)您從哪裡下載軟件持懷疑態(tài)度。

兼容性。接下來(lái)要尋找的最重要功能是兼容性。確保您選擇的任何程序都與您可能使用的任何庫(kù)兼容。如果不這樣做，它輸出的代碼可能無(wú)法再工作，您可能比您想要的要花更多的時(shí)間來(lái)追蹤和修復(fù)錯(cuò)誤。

附加功能和彈性。其他需要注意的是附加功能以及您選擇的程序可能提供的保護(hù)的彈性。有些服務(wù)包含在一個(gè)專(zhuān)業(yè)的集成包中——有些甚至提供一些超越混淆的額外功能！這些功能使您可以確保您應(yīng)用的保護(hù)不會(huì)在幾分鐘內(nèi)輕鬆逆轉(zhuǎn)，甚至可以幫助您對(duì)您的應(yīng)用程序強(qiáng)制執(zhí)行許可。例如，JavaScript保護(hù)公司JScrambler提供：

• JavaScript混淆
• 通過(guò)縮小進(jìn)行性能優(yōu)化
• 死代碼插入
• 函數(shù)概述
• 瀏覽器和域鎖定
• 代碼功能的過(guò)期日期
• 使用反調(diào)試和反篡改技術(shù)來(lái)阻止JavaScript動(dòng)態(tài)分析
• 與大量JavaScript庫(kù)的兼容性和合規(guī)性

JavaScript使用量的增加帶來(lái)了巨大的希望，但其解釋型特性和使用量的增加也增加了風(fēng)險(xiǎn)。但這不必是可怕的事情，因?yàn)槟梢宰龊芏嗍虑閬?lái)降低您業(yè)務(wù)的風(fēng)險(xiǎn)。如果您有敏感的客戶(hù)端JavaScript代碼，並且您想防止該代碼被篡改，那麼值得投資於最佳JavaScript保護(hù)，以提供您需要的額外安全層。如果您想查看JScrambler提供的一些內(nèi)容，請(qǐng)?jiān)L問(wèn)www.jscrambler.com註冊(cè)免費(fèi)試用！

關(guān)於客戶(hù)端JavaScript安全的常見(jiàn)問(wèn)題解答

與客戶(hù)端JavaScript相關(guān)的常見(jiàn)安全風(fēng)險(xiǎn)有哪些？

客戶(hù)端JavaScript容易受到多種安全風(fēng)險(xiǎn)的影響。最常見(jiàn)的是跨站點(diǎn)腳本編寫(xiě)（XSS），攻擊者將惡意腳本注入其他用戶(hù)查看的網(wǎng)頁(yè)，以及跨站點(diǎn)請(qǐng)求偽造（CSRF），攻擊者誘騙受害者執(zhí)行他們無(wú)意執(zhí)行的操作。其他風(fēng)險(xiǎn)包括不安全的直接對(duì)象引用、安全錯(cuò)誤配置以及未經(jīng)驗(yàn)證的重定向和轉(zhuǎn)發(fā)。了解這些風(fēng)險(xiǎn)對(duì)於實(shí)施有效的安全措施至關(guān)重要。

如何保護(hù)我的JavaScript代碼不被盜竊或篡改？

保護(hù)您的JavaScript代碼涉及多種策略。一種是混淆，這使得您的代碼更難理解和操作?？s小（刪除代碼中不必要的字符）也可以阻止?jié)撛诘男⊥怠４送?，使用HTTPS可以防止中間人攻擊，攻擊者攔截並可能更改您的代碼。最後，考慮使用內(nèi)容安全策略（CSP）來(lái)限制可以從哪裡加載腳本，從而降低XSS攻擊的風(fēng)險(xiǎn)。

JavaScript安全的最佳實(shí)踐是什麼？

JavaScript安全的最佳實(shí)踐包括驗(yàn)證和清理所有用戶(hù)輸入以防止XSS攻擊，使用HTTPS來(lái)保護(hù)傳輸中的數(shù)據(jù)，以及實(shí)施CSP來(lái)控制可以從哪裡加載腳本。此外，請(qǐng)保持您的JavaScript庫(kù)和框架更新，以受益於最新的安全補(bǔ)丁，並考慮使用Snyk等工具來(lái)自動(dòng)檢查依賴(lài)項(xiàng)中的漏洞。

客戶(hù)端保護(hù)是如何工作的？

客戶(hù)端保護(hù)涉及多種策略。一種是輸入驗(yàn)證，您檢查所有用戶(hù)輸入中是否存在潛在的有害數(shù)據(jù)。另一種是輸出編碼，您確保輸出給用戶(hù)的任何數(shù)據(jù)都安全顯示。此外，您可以使用CSP來(lái)控制可以從哪裡加載腳本，並使用HTTPS來(lái)保護(hù)傳輸中的數(shù)據(jù)。最後，考慮使用Snyk或Imperva等工具來(lái)自動(dòng)檢查和防護(hù)已知的漏洞。

我可以在2021年採(cǎi)取哪些步驟來(lái)保護(hù)我的JavaScript？

為了在2021年保護(hù)您的JavaScript，首先驗(yàn)證和清理所有用戶(hù)輸入以防止XSS攻擊。使用HTTPS來(lái)保護(hù)傳輸中的數(shù)據(jù)，並實(shí)施CSP來(lái)控制可以從哪裡加載腳本。保持您的JavaScript庫(kù)和框架更新，並考慮使用Snyk或Imperva等工具來(lái)自動(dòng)檢查漏洞。此外，考慮使用嚴(yán)格模式和內(nèi)容安全策略等現(xiàn)代JavaScript功能來(lái)進(jìn)一步增強(qiáng)您的安全性。

如何防止跨站點(diǎn)腳本編寫(xiě)（XSS）攻擊？

防止XSS攻擊涉及多種策略。一種是輸入驗(yàn)證，您檢查所有用戶(hù)輸入中是否存在潛在的有害數(shù)據(jù)。另一種是輸出編碼，您確保輸出給用戶(hù)的任何數(shù)據(jù)都安全顯示。此外，您可以使用CSP來(lái)控制可以從哪裡加載腳本，從而降低XSS攻擊的風(fēng)險(xiǎn)。最後，考慮使用Snyk或Imperva等工具來(lái)自動(dòng)檢查和防護(hù)已知的XSS漏洞。

HTTPS在JavaScript安全中的作用是什麼？

HTTPS通過(guò)加密客戶(hù)端和服務(wù)器之間傳輸?shù)臄?shù)據(jù)在JavaScript安全中起著至關(guān)重要的作用。這可以防止中間人攻擊，攻擊者攔截並可能更改您的數(shù)據(jù)。對(duì)於所有Web應(yīng)用程序，而不僅僅是使用JavaScript的應(yīng)用程序，使用HTTPS都是最佳實(shí)踐。

如何防止跨站點(diǎn)請(qǐng)求偽造（CSRF）攻擊？

防止CSRF攻擊涉及多種策略。一種是使用反CSRF令牌，這是與每個(gè)用戶(hù)會(huì)話關(guān)聯(lián)的唯一隨機(jī)值。這些令牌包含在所有狀態(tài)更改請(qǐng)求中，服務(wù)器檢查它們以確保它們與用戶(hù)的會(huì)話匹配。另一種策略是使用SameSite cookie屬性，這可以防止瀏覽器將cookie與跨站點(diǎn)請(qǐng)求一起發(fā)送。

內(nèi)容安全策略（CSP）在JavaScript安全中的作用是什麼？

CSP是一項(xiàng)安全功能，允許您指定瀏覽器應(yīng)將哪些域視為可執(zhí)行腳本的有效來(lái)源。這有助於防止XSS攻擊，因?yàn)楣粽吒y將惡意腳本注入您的網(wǎng)頁(yè)。對(duì)於所有Web應(yīng)用程序，而不僅僅是使用JavaScript的應(yīng)用程序，實(shí)施CSP都是最佳實(shí)踐。

如何確保我的JavaScript庫(kù)和框架安全？

確保您的JavaScript庫(kù)和框架安全包括定期更新它們以受益於最新的安全補(bǔ)丁。此外，考慮使用Snyk或Imperva等工具來(lái)自動(dòng)檢查依賴(lài)項(xiàng)中的漏洞。最後，遵循安全的編碼最佳實(shí)踐，以防止將新的漏洞引入您的代碼。

以上是客戶(hù)端JavaScript安全的重要性的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！