關(guān)鍵要點(diǎn)

• JavaScript的流行和易用性，加上開源庫的可用性，提高了它的開發(fā)潛力，但也增加了安全漏洞的風(fēng)險。
• JavaScript的解釋型特性和廣泛使用帶來了安全挑戰(zhàn)。它的代碼在運(yùn)行時執(zhí)行，這意味著任何下載基于JavaScript的軟件的人都能夠完全訪問代碼，這可能為黑客提供一個可乘之機(jī)。
• JavaScript混淆是客戶端JavaScript安全中的一個關(guān)鍵工具。它涉及轉(zhuǎn)換和重新排列代碼，使其難以閱讀和理解，同時保留其功能，從而提供一層防止篡改和盜竊的保護(hù)。
• 選擇合適的混淆程序至關(guān)重要。需要考慮的因素包括下載來源的聲譽(yù)、與現(xiàn)有庫的兼容性、提供的保護(hù)的彈性以及超越混淆的附加功能，例如性能優(yōu)化或反調(diào)試技術(shù)。

本文由JScrambler提供。感謝您支持使SitePoint成為可能的合作伙伴。

如今，無論您走到哪里，都一定會看到一些至少部分使用JavaScript創(chuàng)建的東西。原因之一是JavaScript非常易于學(xué)習(xí)和使用。另一個原因與易于集成、開源庫（如jQuery、React.js、Backbone.js、Angular.js和Ember.js）的廣泛可用性有關(guān)?？偠灾@極大地提高了開發(fā)潛力。擁有出色應(yīng)用程序創(chuàng)意的人并不一定需要成為開發(fā)人員或雇用開發(fā)人員才能將這些創(chuàng)意變?yōu)楝F(xiàn)實(shí)。當(dāng)然，這種易于開發(fā)也增加了安全漏洞的風(fēng)險，因?yàn)檫@些庫可以被包含和使用，而無需了解底層真正發(fā)生的情況。

JavaScript安全

在JavaScript安全方面，基本上有兩種思路：一種是保護(hù)您的代碼免受黑客攻擊的問題，另一種是從專有角度進(jìn)行保護(hù)——防止您的代碼被篡改或盜竊。

服務(wù)器端托管。傳統(tǒng)上，代碼保護(hù)意味著盡可能多地將代碼存儲在服務(wù)器上。這可以保護(hù)您的代碼免受窺探，并且還可以讓服務(wù)器在性能方面承擔(dān)繁重的工作。這在今天仍然適用，但它遠(yuǎn)非一勞永逸的解決方案。將代碼存儲在服務(wù)器上確實(shí)提供了最佳保護(hù)，但它也有一些缺點(diǎn)。一個缺點(diǎn)是它意味著您正在強(qiáng)制進(jìn)行互聯(lián)網(wǎng)連接。這并不總是問題，但如果您正在開發(fā)想要離線工作的應(yīng)用程序，則不可行。另一個考慮因素是性能。服務(wù)器調(diào)用需要時間。對于簡單的應(yīng)用程序來說，這不是一個大問題，但對于像游戲這樣的高性能應(yīng)用程序來說，這可能是一個問題，因?yàn)檫^多的延遲會破壞用戶體驗(yàn)。

為什么加密不起作用。許多人提出的一個不可避免的問題是：“為什么我不能只加密我的文件？”這是一個很好的想法。真的。問題在于它并非如此。您可以加密文件，但它們對瀏覽器沒有任何用處。您需要解密它們才能使它們對瀏覽器可讀，這使您又回到了起點(diǎn)。

JavaScript無處不在

JavaScript是一種功能非常強(qiáng)大的語言，但在安全方面也存在一個明顯的缺陷：它是一種解釋型語言。JavaScript代碼不是在分發(fā)前編譯成機(jī)器代碼，而是在運(yùn)行時執(zhí)行。當(dāng)然，這也意味著，默認(rèn)情況下，幾乎所有下載基于JavaScript的軟件的人都將完全訪問驅(qū)動它的代碼。JavaScript現(xiàn)在甚至能夠在Web瀏覽器的界限之外運(yùn)行，這一事實(shí)使得安全成為一個更重要的主題，即使僅僅是因?yàn)榇罅课淳幾g代碼的存在。在瀏覽器中，JavaScript通常是“沙盒化”的，這意味著除非存在某些缺陷，否則它對您的系統(tǒng)相對安全。但是，現(xiàn)在有很多具有標(biāo)準(zhǔn)化API的框架，例如PhoneGap、Cordova、Node Webkit等等，它們允許JavaScript與本機(jī)系統(tǒng)API交互。這些為JavaScript應(yīng)用程序開發(fā)人員提供了很大的靈活性和功能。例如，您可以編寫HTML5和JavaScript桌面軟件，該軟件能夠讀取和寫入硬盤驅(qū)動器上的文件，或者以其他方式使用您的本機(jī)系統(tǒng)功能，例如允許訪問您的相機(jī)、電話信息、wifi、藍(lán)牙、GPS等等。將所有這些加在一起，就為潛在的黑客提供了一個相當(dāng)大的源代碼游樂場。

JavaScript混淆的作用是什么？

在客戶端JavaScript安全方面，開發(fā)人員無法確保100%的保護(hù)。也就是說，JavaScript混淆在這里發(fā)揮了作用?；煜窍到y(tǒng)地檢查您的代碼、轉(zhuǎn)換和重新排列它的過程，其目標(biāo)是使其幾乎無法用肉眼閱讀和理解，但同時保留其功能。（注意：縮小與混淆不同，您可以輕松地從縮小后的代碼中檢索原始代碼。）盡管它有其局限性，但除了將所有代碼鎖定在服務(wù)器上之外，混淆是開發(fā)人員保護(hù)其JavaScript代碼的最佳選擇。但并非所有混淆都真正保護(hù)您的代碼。

選擇合適的JavaScript混淆器及其他

面對數(shù)十種混淆程序，您如何選擇適合自己的程序？選擇時，請考慮以下幾點(diǎn)。

下載來源。可能最重要的考慮因素是您下載軟件的來源。這條建議應(yīng)該適用于您從網(wǎng)絡(luò)下載的幾乎所有內(nèi)容。始終檢查您下載來源的聲譽(yù)。在“為什么免費(fèi)混淆器并不總是免費(fèi)的”中，Peter Gramantik描述了他使用“免費(fèi)”JavaScript混淆器的經(jīng)歷。他描述了代碼是如何被混淆的，但程序也將其自身的惡意代碼插入其中。如果他沒有反混淆代碼來查看真正發(fā)生了什么，他就永遠(yuǎn)不會注意到它。故事的寓意：始終對您從哪里下載軟件持懷疑態(tài)度。

兼容性。接下來要尋找的最重要功能是兼容性。確保您選擇的任何程序都與您可能使用的任何庫兼容。如果不這樣做，它輸出的代碼可能無法再工作，您可能比您想要的要花更多的時間來追蹤和修復(fù)錯誤。

附加功能和彈性。其他需要注意的是附加功能以及您選擇的程序可能提供的保護(hù)的彈性。有些服務(wù)包含在一個專業(yè)的集成包中——有些甚至提供一些超越混淆的額外功能！這些功能使您可以確保您應(yīng)用的保護(hù)不會在幾分鐘內(nèi)輕松逆轉(zhuǎn)，甚至可以幫助您對您的應(yīng)用程序強(qiáng)制執(zhí)行許可。例如，JavaScript保護(hù)公司JScrambler提供：

• JavaScript混淆
• 通過縮小進(jìn)行性能優(yōu)化
• 死代碼插入
• 函數(shù)概述
• 瀏覽器和域鎖定
• 代碼功能的過期日期
• 使用反調(diào)試和反篡改技術(shù)來阻止JavaScript動態(tài)分析
• 與大量JavaScript庫的兼容性和合規(guī)性

JavaScript使用量的增加帶來了巨大的希望，但其解釋型特性和使用量的增加也增加了風(fēng)險。但這不必是可怕的事情，因?yàn)槟梢宰龊芏嗍虑閬斫档湍鷺I(yè)務(wù)的風(fēng)險。如果您有敏感的客戶端JavaScript代碼，并且您想防止該代碼被篡改，那么值得投資于最佳JavaScript保護(hù)，以提供您需要的額外安全層。如果您想查看JScrambler提供的一些內(nèi)容，請?jiān)L問www.jscrambler.com注冊免費(fèi)試用！

關(guān)于客戶端JavaScript安全的常見問題解答

與客戶端JavaScript相關(guān)的常見安全風(fēng)險有哪些？

客戶端JavaScript容易受到多種安全風(fēng)險的影響。最常見的是跨站點(diǎn)腳本編寫（XSS），攻擊者將惡意腳本注入其他用戶查看的網(wǎng)頁，以及跨站點(diǎn)請求偽造（CSRF），攻擊者誘騙受害者執(zhí)行他們無意執(zhí)行的操作。其他風(fēng)險包括不安全的直接對象引用、安全錯誤配置以及未經(jīng)驗(yàn)證的重定向和轉(zhuǎn)發(fā)。了解這些風(fēng)險對于實(shí)施有效的安全措施至關(guān)重要。

如何保護(hù)我的JavaScript代碼不被盜竊或篡改？

保護(hù)您的JavaScript代碼涉及多種策略。一種是混淆，這使得您的代碼更難理解和操作?？s?。▌h除代碼中不必要的字符）也可以阻止?jié)撛诘男⊥?。此外，使用HTTPS可以防止中間人攻擊，攻擊者攔截并可能更改您的代碼。最后，考慮使用內(nèi)容安全策略（CSP）來限制可以從哪里加載腳本，從而降低XSS攻擊的風(fēng)險。

JavaScript安全的最佳實(shí)踐是什么？

JavaScript安全的最佳實(shí)踐包括驗(yàn)證和清理所有用戶輸入以防止XSS攻擊，使用HTTPS來保護(hù)傳輸中的數(shù)據(jù)，以及實(shí)施CSP來控制可以從哪里加載腳本。此外，請保持您的JavaScript庫和框架更新，以受益于最新的安全補(bǔ)丁，并考慮使用Snyk等工具來自動檢查依賴項(xiàng)中的漏洞。

客戶端保護(hù)是如何工作的？

客戶端保護(hù)涉及多種策略。一種是輸入驗(yàn)證，您檢查所有用戶輸入中是否存在潛在的有害數(shù)據(jù)。另一種是輸出編碼，您確保輸出給用戶的任何數(shù)據(jù)都安全顯示。此外，您可以使用CSP來控制可以從哪里加載腳本，并使用HTTPS來保護(hù)傳輸中的數(shù)據(jù)。最后，考慮使用Snyk或Imperva等工具來自動檢查和防護(hù)已知的漏洞。

我可以在2021年采取哪些步驟來保護(hù)我的JavaScript？

為了在2021年保護(hù)您的JavaScript，首先驗(yàn)證和清理所有用戶輸入以防止XSS攻擊。使用HTTPS來保護(hù)傳輸中的數(shù)據(jù)，并實(shí)施CSP來控制可以從哪里加載腳本。保持您的JavaScript庫和框架更新，并考慮使用Snyk或Imperva等工具來自動檢查漏洞。此外，考慮使用嚴(yán)格模式和內(nèi)容安全策略等現(xiàn)代JavaScript功能來進(jìn)一步增強(qiáng)您的安全性。

如何防止跨站點(diǎn)腳本編寫（XSS）攻擊？

防止XSS攻擊涉及多種策略。一種是輸入驗(yàn)證，您檢查所有用戶輸入中是否存在潛在的有害數(shù)據(jù)。另一種是輸出編碼，您確保輸出給用戶的任何數(shù)據(jù)都安全顯示。此外，您可以使用CSP來控制可以從哪里加載腳本，從而降低XSS攻擊的風(fēng)險。最后，考慮使用Snyk或Imperva等工具來自動檢查和防護(hù)已知的XSS漏洞。

HTTPS在JavaScript安全中的作用是什么？

HTTPS通過加密客戶端和服務(wù)器之間傳輸?shù)臄?shù)據(jù)在JavaScript安全中起著至關(guān)重要的作用。這可以防止中間人攻擊，攻擊者攔截并可能更改您的數(shù)據(jù)。對于所有Web應(yīng)用程序，而不僅僅是使用JavaScript的應(yīng)用程序，使用HTTPS都是最佳實(shí)踐。

如何防止跨站點(diǎn)請求偽造（CSRF）攻擊？

防止CSRF攻擊涉及多種策略。一種是使用反CSRF令牌，這是與每個用戶會話關(guān)聯(lián)的唯一隨機(jī)值。這些令牌包含在所有狀態(tài)更改請求中，服務(wù)器檢查它們以確保它們與用戶的會話匹配。另一種策略是使用SameSite cookie屬性，這可以防止瀏覽器將cookie與跨站點(diǎn)請求一起發(fā)送。

內(nèi)容安全策略（CSP）在JavaScript安全中的作用是什么？

CSP是一項(xiàng)安全功能，允許您指定瀏覽器應(yīng)將哪些域視為可執(zhí)行腳本的有效來源。這有助于防止XSS攻擊，因?yàn)楣粽吒y將惡意腳本注入您的網(wǎng)頁。對于所有Web應(yīng)用程序，而不僅僅是使用JavaScript的應(yīng)用程序，實(shí)施CSP都是最佳實(shí)踐。

如何確保我的JavaScript庫和框架安全？

確保您的JavaScript庫和框架安全包括定期更新它們以受益于最新的安全補(bǔ)丁。此外，考慮使用Snyk或Imperva等工具來自動檢查依賴項(xiàng)中的漏洞。最后，遵循安全的編碼最佳實(shí)踐，以防止將新的漏洞引入您的代碼。

以上是客戶端JavaScript安全的重要性的詳細(xì)內(nèi)容。更多信息請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！