作者：vivo 互聯網安全團隊- Luo Bingsong

前端代碼都是公開的，為了提高代碼的破解成本、保證JS代碼里的一些重要邏輯不被居心叵測的人利用，需要使用一些加密和混淆的防護手段。

一、概念解析

1.1 什么是接口加密

如今這個時代，數據已經變得越來越重要，網頁和APP是主流的數據載體，如果獲取數據的接口沒有設置任何的保護措施的話，數據就會被輕易地竊取或篡改。

除了數據泄露外，一些重要功能的接口如果沒有做好保護措施也會被惡意調用造成DDoS、條件競爭等攻擊效果，比如如下幾個場景：

一些營銷活動類的Web頁面，領紅包、領券、投票、抽獎等活動方式很常見。此類活動對于普通用戶來說應該是“拼手氣”，而對于非正常用戶來說，可以通過直接刷活動API接口的這種“作弊”方式來提升“手氣”。這樣對普通用戶來說就很不公平。

所以對重要接口都會采用加密驗簽的方式進行保護，而驗簽的加密邏輯大多數都通過JS代碼實現，所以保護JS代碼不被攻擊者竊取尤為重要。

1.2 為什么要保護JS代碼

JavaScript代碼運行于客戶端

JavaScript代碼是公開透明的

由于這兩個原因，致使JavaScript代碼是不安全的，任何人都可以讀、分析、復制、盜用甚至篡改。

1.3 應用場景

以下場景就通過特定的防護措施提高了攻擊成本：

某些網站會在頁面中使用JavaScript對數據進行加密，以保護數據的安全性和隱私性，在爬取時需要通過解密JavaScript代碼才能獲取到數據。

某些網站的URL會有某個參數帶有一些看不太懂的長串加密參數，攻擊者要爬取的話就必須要知道這些參數是怎么構造的，否則無法正確地訪問該URL。

翻看網站的JavaScript源代碼，可以發現很多壓縮了或者看不太懂的字符，比如JavaScript文件名被編碼，JavaScript的文件內容都壓縮成幾行，JavaScript變量也被修改成單個字符或者一些十六進制的字符，所以我們不能輕易地根據JavaScript找出某些接口的加密邏輯。

1.4 涉及的技術

這些場景都是網站為了保護數據不被輕易抓取采取的措施，運用的技術主要有：

接口加密技術

JavaScript壓縮、混淆和加密技術

二、技術原理

2.1 接口加密技術

數據和功能一般是通過服務器提供的接口來實現，為了提升接口的安全性，客戶端會和服務端約定一種接口檢驗方式，通常是各種加密和編碼算法，如Base64、Hex、MD5、AES、DES、RSA等。

常用的數據接口都會攜帶一個sign參數用于權限管控：

① 客戶端和服務端約定一種接口校驗邏輯，客戶端在每次請求服務端接口的時候附帶一個sign參數。
② sign參數的邏輯自定義，可以由當前時間戳信息、設備ID、日期、雙方約定好的秘鑰經過一些加密算法構造而成。
③ 客戶端根據約定的加密算法構造sign，每次請求服務器的時候附帶上sign數。
④ 服務端根據約定的加密算法和請求的數據對sign進行校驗，如果檢驗通過，才返回數據，否則拒絕響應。

這就是一個比較簡單的接口參數加密的實現，如果有人想要調用這個接口的話，必須要破解sign的生成邏輯，否則是無法正常調用接口的。

當然上面的實現思路比較簡單，還可以增加一些時間戳信息和訪問頻次來增加時效性判斷，或使用非對稱加密提高加密的復雜程度。

實現接口參數加密需要用到一些加密算法，客戶端和服務器都有對應的SDK來實現這些加密算法，如JavaScript的crypto-js、Python的hashlib、Crypto等等。如果是網頁且客戶端的加密邏輯是用JavaScript來實現的話，其源代碼對用戶是完全可見的，所以我們需要用壓縮、混淆、加密的方式來對JavaScript代碼進行一定程度的保護。

2.2 什么是壓縮

去除JavaScript代碼中不必要的空格、換行等內容，使源碼都壓縮為幾行內容，降低代碼可讀性，同時可提高網站的加載速度。

如果僅僅是去除空格換行這樣的壓縮方式，幾乎沒有任何防護作用，這種壓縮方式僅僅是降低了代碼的直接可讀性，可以用IDE、在線工具或Chrome輕松將JavaScript代碼變得易讀。

所以JavaScript壓縮技術只能在很小的程度上起到防護作用，想提高防護的效果還得依靠JavaScript混淆和加密技術。

2.3 什么是混淆

使用變量混淆、字符串混淆、屬性加密、控制流平坦化、調試保護、多態變異等手段，使代碼變得難以閱讀和分析，同時不影響代碼原有功能，是一種理想且實用的JS保護方案。

變量混淆：將變量名、方法名、常量名隨機變為無意義的亂碼字符串，降低代碼可讀性，如轉成單個字符或十六進制字符串。

字符串混淆：將字符串陣列化集中放置，并進行MD5或Base64編碼存儲，使代碼中不出現明文字符串，可以避免使用全局搜索字符串的方式定位到入口點。

屬性加密：針對JavaScript對象的屬性進行加密轉化，隱藏代碼之間的調用關系，把key-value的映射關系混淆掉。

控制流平坦化：打亂函數原有代碼執行流程及函數調用關系，使代碼邏輯變得混亂無序。

調試保護：基于調試器特性，加入一些強制調試debug語句，無限debug、定時debug、debug關鍵字，使其在調試模式下難以順利執行JavaScript代碼。

多態變異：JavaScript代碼每次被調用時，代碼自身立刻自動發生變異，變化為與之前完全不同的代碼，避免代碼被動態分析調試。

2.4 什么是加密

JavaScript加密是對JavaScript混淆技術防護的進一步升級，基本思路是將一些核心邏輯用C/C++語言來編寫，并通過JavaScript調用執行，從而起到二進制級別的防護作用，加密的方式主要有Emscripten和WebAssembly等。

1. Emscripten

Emscripten編譯器可以將C/C++代碼編譯成asm.js的JavaScript變體，再由JavaScript調用執行，因此某些JavaScript的核心功能可以使用C/C++語言實現。

2.WebAssembly

WebAssembly也能將C/C++代碼轉成JavaScript引擎可以運行的代碼，但轉出來的代碼是二進制字節碼，而asm.js是文本，因此運行速度更快、體積更小，得到的字節碼具有和JavaScript相同的功能，在語法上完全脫離JavaScript，同時具有沙盒化的執行環境，利用WebAssembly技術，可以將一些核心的功能用C/C++語言實現，形成瀏覽器字節碼的形式，然后在JavaScript中通過類似如下的方式調用：

這種加密方式更加安全，想要逆向或破解需要逆向WebAssembly，難度極大。

2.5 工具介紹

2.5.1 壓縮混淆工具

Uglifyjs（開源）：

用NodeJS編寫的JavaScript壓縮工具，是目前最流行的JS壓縮工具，JQuery就是使用此工具壓縮，UglifyJS壓縮率高，壓縮選項多，并且具有優化代碼，格式化代碼功能。

jshaman：

jshaman是一個商業級工具，看了很多社區的評論，這個目前是最好的，可以在線免費使用，也可以購買商業版。

jsfuck：

開源的js混淆工具，原理比較簡單，通過特定的字符串加上下標定位字符，再由這些字符替換源代碼，從而實現混淆。

YUI Compressor：

業界巨頭yahoo提供的一個前端壓縮工具，通過java庫編譯css或js文件進行壓縮

2.5.2 反混淆工具

jsbeautifier：

jsbeautifier是一個為前端開發人員制作的Chrome擴展，能夠直接查看經過壓縮的Javascript代碼。

UnuglifyJS：

壓縮工具uglify對應的解混淆工具。

jspacker：

用PHP編寫的壓縮工具，可以混淆代碼保護知識產權，產生的代碼兼容IE、FireFox等常用瀏覽器，國內大部分在線工具網站都采用這種算法壓縮。

三、前端安全對抗

3.1 前端調試手法

3.1.1 Elements

Elements 面板會顯示目前網頁中的 DOM、CSS 狀態，且可以修改頁面上的 DOM 和 CSS，即時看到結果，省去了在編輯器修改、儲存、瀏覽器查看結果的流程。

有時候一些dom節點會嵌套很深，導致我們很難利用Element面板html代碼來找到對應的節點。inspect(dom元素)可以讓我們快速跳轉到對應的dom節點的html代碼上。

3.1.2 Console

Console對象提供了瀏覽器控制臺調試的接口，Console是一個對象，上面有很多方便的方法。

console.log( )：最常用的語句，可以將變量輸出到瀏覽器的控制臺中，方便開發者調用JS代碼

console.table( )：可用于打印obj/arr成表格

console.trace( )：可用于debugger堆棧調試，方便查看代碼的執行邏輯，看一些庫的源碼

console.count( )：打印標簽被執行了幾次，預設值是default，可用在快速計數

console.countReset( )：用來重置，可用在計算單次行為的觸發的計數

console.group( )/console.groupEnd( )：

為了方便一眼看到自己的log，可以用console.group自定義message group標簽，還可以多層嵌套，并用console.groupEnd來關閉Group。

3.1.3 JS斷點調試

JS斷點調試，即在瀏覽器開發者工具中為JS代碼添加斷點，讓JS執行到某一特定位置停住，方便開發者對該處代碼段進行分析與邏輯處理。

Sources面板

① 普通斷點（breakpoint）

給一段代碼添加斷點的流程是："F12（Ctrl + Shift + I）打開開發工具"->"點擊Sources菜單"->"左側樹中找到相應文件"→"點擊行號列"即完成在當前行添加/刪除斷點操作。當斷點添加完畢后，刷新頁面JS執行到斷點位置停住，在Sources界面會看到當前作用域中所有變量和值。

恢復（Resume）：恢復按鈕(第一個按鈕)，繼續執行，快捷鍵 F8，繼續執行，如果沒有其他的斷點，那么程序就會繼續執行，并且調試器不會再控制程序。

跨步（Step over）：運行下一條指令，但不會進入到一個函數中，快捷鍵 F10。

步入（Step into）：快捷鍵 F11，和“下一步（Step）”類似，但在異步函數調用情況下表現不同，步入會進入到代碼中并等待異步函數執行。

步出（Step out）：繼續執行到當前函數的末尾，快捷鍵 Shift+F11，繼續執行代碼并停止在當前函數的最后一行，當我們使用偶然地進入到一個嵌套調用，但是我們又對這個函數不感興趣時，我們想要盡可能的繼續執行到最后的時候是非常方便的。

下一步（Step）：運行下一條語句，快捷鍵 F9，一次接一次地點擊此按鈕，整個腳本的所有語句會被逐個執行，下一步命令會忽略異步行為。

啟用/禁用所有的斷點：這個按鈕不會影響程序的執行。只是一個批量操作斷點的開/關。

察看（Watch）：顯示任意表達式的當前值

調用棧（Call Stack）：顯示嵌套的調用鏈

作用域（Scope）：顯示當前的變量

Local：顯示當前函數中的變量

Global：顯示全局變量

② 條件斷點（Conditional breakpoint）

給斷點添加條件，只有符合條件時，才會觸發斷點，條件斷點的顏色是橙色。

③ 日志斷點（logpoint）

當代碼執行到這里時，會在控制臺輸出你的表達式，不會暫停代碼執行，日志斷點式粉紅色。

debugger命令

通過在代碼中添加"debugger;"語句，當代碼執行到該語句的時候就會自動斷點，之后的操作和在Sources面板添加斷點調試，唯一的區別在于調試完后需要刪除該語句。

在開發中偶爾會遇到異步加載html片段（包含內嵌JS代碼）的情況，而這部分JS代碼在Sources樹中無法找到，因此無法直接在開發工具中直接添加斷點，那么如果想給異步加載的腳本添加斷點，此時"debugger;"就發揮作用了。

3.2 反調試手段

3.2.1 禁用開發者工具

監聽是否打開開發者工具，若打開，則直接調用JavaScript的window.close( )方法關閉網頁

① 監聽F12按鍵、監聽Ctrl+Shift+I（Windows系統）組合鍵、監聽右鍵菜單，監聽Ctrl+s禁止保存至本地，避免被Overrides。

② 監聽窗口大小變化

③ 利用Console.log

3.2.2 無限debugger反調試

① constructor

② Function

有大佬寫了一個庫專門用來判斷是否打開了開發者工具，可供參考使用：點擊查看>>

3.3 反反調試手段

3.3.1 禁用開發者工具

針對判斷是否打開開發者工具的破解方式很簡單，只需兩步就可以搞定。

① 將開發者工具以獨立窗口形式打開

② 打開開發者工具后再打開網址

3.3.2 無限debugger

針對無限debugger反調試，有以下破解方法

① 直接使用dubbger指令的，可以在Chrome找到對應行（格式化后），右鍵行號，選擇Never pause here即可。

② 使用了constructor構造debugger的，只需在console中輸入以下代碼后，點擊F8（Resume script execution）回復js代碼執行即可（直接點擊小的藍色放行按鈕即可）。

Function.prototype.constructor=function(){}

③ 使用了Function構造debugger的，只需在console中輸入以下代碼。

Function = function () {}

3.4 總結

JavaScript混淆加密使得代碼更難以被反編譯和分析，從而提高了代碼的安全性，攻擊者需要花費更多的時間和精力才能理解和分析代碼，從而降低了攻擊者入侵的成功率，但它并不能完全保護代碼不被反編譯和分析，如果攻擊者有足夠的時間和資源，他們仍然可以理解代碼并找到其中的漏洞，道高一尺，魔高一丈，任何客戶端加密混淆都會被破解，只要用心都能解決，我們能做的就是拖延被破解的時間，所以盡量避免在前端代碼中嵌入敏感信息或業務邏輯。