使用webpack-obfuscator进行代码混淆及报错解决过程
更新时间:2024年10月10日 09:57:12 作者:你不讲 wood
随着前端应用的复杂度增加,保护客户端的JavaScript代码变得更为重要,webpack-obfuscator插件通过对代码进行混淆,如变量重命名、字符串加密等,提高代码的保密性,防止源码被轻易查看或修改
背景
随着前端技术的发展,特别是单页应用(SPA)的普及,越来越多的应用逻辑和业务代码暴露在客户端浏览器中运行。
这使得应用代码容易被查看、复制甚至修改,从而可能引发安全问题或商业机密泄露。
可以通过浏览器控制台查看页面源码, 如下图:
webpack-obfuscator 介绍
webpack-obfuscator 是一个用于混淆 Webpack 打包后的 JavaScript 代码的插件。它通过对代码进行混淆处理,使原始代码变得难以阅读和理解,从而保护代码的知识产权和业务逻辑。
这种混淆通常包括变量重命名、字符串加密、控制流扁平化等技术手段。webpack-obfuscator 可以在构建过程中对 JavaScript 代码进行混淆,使其在部署到生产环境时更加安全。
安装
npm install webpack-obfuscator@2.6.0 javascript-obfuscator@3.2.7 --save-dev # 或者 yarn add webpack-obfuscator@2.6.0 javascript-obfuscator@3.2.7 --dev
注意: 上面安装的版本对应的 webpack 4.47.0版本, 如果是 webpack 是低版本,对应的插件版本也要降低
参数解析
混淆选项 (options)
compact (boolean): 是否压缩输出的代码,默认为true。controlFlowFlattening (boolean): 是否启用控制流扁平化,默认为false。controlFlowFlatteningThreshold (number): 控制流扁平化的阈值,默认为 0.75。deadCodeInjection (boolean): 是否注入死代码,默认为false。deadCodeInjectionThreshold (number): 死代码注入的阈值,默认为 0.4。debugProtection (boolean): 是否启用调试保护,默认为 false。debugProtectionInterval (boolean): 是否启用调试保护间隔,默认为 false。domainLock (Array<string>): 锁定指定的域名,默认为空数组。identifierNamesGenerator (string): 生成标识符名称的方式,默认为'mangled'。log (boolean): 是否记录混淆过程,默认为false。numbersToExpressions (boolean): 是否将数字转换为表达式,默认为false。renameGlobals (boolean): 是否重命名全局变量,默认为false。rotateStringArray (boolean): 是否启用字符串数组旋转,默认为false。selfDefending (boolean): 是否启用自我防御,默认为false。simplify (boolean): 是否简化输出代码,默认为true。sourceMap (boolean | string): 是否生成源映射,默认为false。sourceMapMode (string): 源映射模式,默认为'separate'。splitStrings (boolean): 是否将字符串分割成多个较小的字符串,默认为false。stringArrayEncoding (Array<string>): 字符串数组编码方式,默认为空数组。stringArrayEncodingThreshold (number): 字符串数组编码的阈值,默认为 0.75。stringArrayThreshold (number): 字符串数组阈值,默认为 0.75。stringArrayWrappersCount (number): 字符串数组包装器的数量,默认为 2。stringArrayWrappersChainedCalls (number): 字符串数组包装器链式调用的数量,默认为 2。stringArrayWrappersParametersMaxCount (number): 字符串数组包装器参数的最大数量,默认为 2。stringArrayWrappersParametersMinCount (number): 字符串数组包装器参数的最小数量,默认为 1。stringArrayWrappersType (string): 字符串数组包装器的类型,默认为 ‘variable’。stringArrayWrappersVarNames (Array<string>): 字符串数组包装器变量名称,默认为空数组。stringArrayIndexShift (boolean): 是否对字符串数组索引进行偏移,默认为false。shuffleStringArray (boolean): 是否打乱字符串数组,默认为false。transformObjectKeys (boolean): 是否转换对象键,默认为false。transformObjectKeysBlackList (Array<string>): 不转换的对象键黑名单,默认为空数组。transformObjectKeysRecursive (boolean): 是否递归转换对象键,默认为false。transformObjectKeysWhitelist (Array<string>): 转换的对象键白名单,默认为空数组。unicodeEscapeSequence (boolean): 是否使用 Unicode 逃逸序列,默认为false。useStrictSemicolons (boolean): 是否使用严格的分号,默认为false。wrapCode (boolean): 是否包裹代码,默认为false。wrapComments (boolean): 是否包裹注释,默认为false。
排除选项 (exclude)
exclude (Array<string> | RegExp): 排除不需要混淆的模块或文件。
请注意,上述配置示例包含了所有可用的参数,但在实际项目中,你可能只需要设置其中的一部分。
强烈建议根据项目需求调整这些选项,以达到最佳的混淆效果并保持代码的可维护性和性能。
配置示例
接下来,在你的 webpack.config.js 文件中配置 webpack-obfuscator 插件。
以下是一个简单的示例配置:
const path = require("path");
const TerserPlugin = require("terser-webpack-plugin");
const WebpackObfuscator = require('webpack-obfuscator');
module.exports = {
configureWebpack: (config) => {
config.resolve = {
...config.resolve,
alias: {
"@": resolve("src"),
}
},
config.optimization = {
...config.minimizer,
minimizer: [
new TerserPlugin({
terserOptions: {
compress: {
drop_console: true,
},
},
}),
]
}
if (process.env.NODE_ENV === 'production') {
config.plugins.push(
new WebpackObfuscator({
// 压缩代码
compact: true,
// 是否启用控制流扁平化(降低1.5倍的运行速度)
controlFlowFlattening: false,
// 随机的死代码块(增加了混淆代码的大小)
deadCodeInjection: false,
// 此选项几乎不可能使用开发者工具的控制台选项卡
debugProtection: false,
// 如果选中,则会在“控制台”选项卡上使用间隔强制调试模式,从而更难使用“开发人员工具”的其他功能。
debugProtectionInterval: false,
// 通过用空函数替换它们来禁用console.log,console.info,console.error和console.warn。这使得调试器的使用更加困难。
disableConsoleOutput: true,
// 标识符的混淆方式 hexadecimal(十六进制) mangled(短标识符)
identifierNamesGenerator: 'hexadecimal',
log: false,
// 是否启用全局变量和函数名称的混淆
renameGlobals: false,
// 通过固定和随机(在代码混淆时生成)的位置移动数组。这使得将删除的字符串的顺序与其原始位置相匹配变得更加困难。如果原始源代码不小,建议使用此选项,因为辅助函数可以引起注意。
rotateStringArray: true,
// 混淆后的代码,不能使用代码美化,同时需要配置 cpmpat:true;
selfDefending: true,
// 删除字符串文字并将它们放在一个特殊的数组中
stringArray: true,
rotateUnicodeArray: true,
// stringArrayEncoding: 'base64',
stringArrayEncoding: ['base64'],
stringArrayThreshold: 0.75,
// 允许启用/禁用字符串转换为unicode转义序列。Unicode转义序列大大增加了代码大小,并且可以轻松地将字符串恢复为原始视图。建议仅对小型源代码启用此选项。
unicodeEscapeSequence: false,
// 允许启用/禁用字符串转换为unicode转义序列。Unicode转义序列大大增加了代码大小,并且可以轻松地将字符串恢复为原始视图。建议仅对小型源代码启用此选项。
transformObjectKeys: true,
// 排除选项
exclude: [/node_modules/, /\.min\.js$/]
})
)
}
},
}代码混淆后
运行 npm run dev 报错 Error: The number of constructor arguments in the derived class t must be >= than the number of constructor arguments of its base class.
上述报错说明项目的 webpack 版本对应的 webpack-obfuscator 和 javascript-obfuscator 版本过低导致报错
运行 npm run dev 报错 TypeError: Cannot read property ‘tap’ of undefined
上述报错说明项目的 webpack 版本对应的 webpack-obfuscator 和 javascript-obfuscator 版本过高导致报错
查看 webpack 对应 webpack-obfuscator 版本可以去 git 官网的 tags 的 package.json 上进行详细查看
git 官网: https://github.com/javascript-obfuscator/webpack-obfuscator/tags
运行npm run build 打包时出现错误 TypeError: Cannot read property ‘sourceAndMap’ of undefined
npm官网文档也写到了 Warning: right now plugin does not support sourceMap and sourceMapMode options!
解决方法:
修改 configureWebpack 配置, 将configureWebpack的对象模式改成函数形式
配置如下:
module.exports = {
configureWebpack: (config) => {
if (process.env.NODE_ENV === 'production') {
config.plugins.push(
new WebpackObfuscator({
// 压缩代码
compact: true,
// 是否启用控制流扁平化(降低1.5倍的运行速度)
controlFlowFlattening: false,
// 随机的死代码块(增加了混淆代码的大小)
deadCodeInjection: false,
// 此选项几乎不可能使用开发者工具的控制台选项卡
debugProtection: false,
// 如果选中,则会在“控制台”选项卡上使用间隔强制调试模式,从而更难使用“开发人员工具”的其他功能。
debugProtectionInterval: false,
// 通过用空函数替换它们来禁用console.log,console.info,console.error和console.warn。这使得调试器的使用更加困难。
disableConsoleOutput: true,
// 标识符的混淆方式 hexadecimal(十六进制) mangled(短标识符)
identifierNamesGenerator: 'hexadecimal',
log: false,
// 是否启用全局变量和函数名称的混淆
renameGlobals: false,
// 通过固定和随机(在代码混淆时生成)的位置移动数组。这使得将删除的字符串的顺序与其原始位置相匹配变得更加困难。如果原始源代码不小,建议使用此选项,因为辅助函数可以引起注意。
rotateStringArray: true,
// 混淆后的代码,不能使用代码美化,同时需要配置 cpmpat:true;
selfDefending: true,
// 删除字符串文字并将它们放在一个特殊的数组中
stringArray: true,
rotateUnicodeArray: true,
// stringArrayEncoding: 'base64',
stringArrayEncoding: ['base64'],
stringArrayThreshold: 0.75,
// 允许启用/禁用字符串转换为unicode转义序列。Unicode转义序列大大增加了代码大小,并且可以轻松地将字符串恢复为原始视图。建议仅对小型源代码启用此选项。
unicodeEscapeSequence: false,
// 允许启用/禁用字符串转换为unicode转义序列。Unicode转义序列大大增加了代码大小,并且可以轻松地将字符串恢复为原始视图。建议仅对小型源代码启用此选项。
transformObjectKeys: true,
})
)
}
},
}总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。
您可能感兴趣的文章:
相关文章
element-plus dialog v-loading不生效问题及解决
这篇文章主要介绍了element-plus dialog v-loading不生效问题及解决方案,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2023-03-03
这篇文章主要介绍了Vue实现拖拽穿梭框功能四种方式,使用原生js实现拖拽,VUe使用js实现拖拽穿梭框,结合实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2022-09-09
这篇文章主要为大家介绍了vue3 pinia踩坑及解决方案详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2023-03-03
Typescript 5年内的热度随时间变化的趋势,整体呈现一个上升的趋势。也说明ts越来越️受大家的关注了。这篇文章主要介绍了Vue 中使用 typescript的方法详解,需要的朋友可以参考下2020-02-02
这篇文章主要介绍了前端必知必会之Vue v-if指令的相关资料,Vue中的条件渲染指令v-if、v-else-if和v-else用于根据条件动态创建HTML元素,通过使用比较运算符和逻辑运算符,可以编写复杂的条件逻辑,需要的朋友可以参考下2025-02-02
这篇文章主要介绍了vue项目中Toast字体过小,没有边距的解决方案。具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2022-04-04
Vuejs对象常用操作之取对应的值、取key和value值、转数组及合并等
最近在学Vue和javascript感觉js的好多方法都不太清楚,这里彻底总结下,这篇文章主要给大家介绍了关于Vuejs对象常用操作之取对应的值、取key和value值、转数组及合并等的相关资料,需要的朋友可以参考下2024-01-01
这篇文章主要为大家介绍了vue框架编辑接口页面实现下拉级联选择以及绑定接口所属模块,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2022-05-05
这篇文章主要介绍了vue中倒计时组件的实例代码,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下2018-07-07
这篇文章主要介绍了vue中keep-alive,include的缓存问题,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2019-11-11
最新评论