背景

公司代码提供给第三方使用,为了不完全泄露源码,需要对给出的代码进行加密混淆,前端代码虽然无法做到完全加密混淆,但是通过使用 webpack-obfuscator 通过增加随机废代码段、字符编码转义等方法可以使构建代码完全混淆,达到无法恢复源码甚至无法阅读的目的。

安装

webpack-obfuscator https://www.npmjs.com/package/webpack-obfuscator

npm install --save-dev webpack-obfuscator

配置

// webpack.config.js

const JavaScriptObfuscator = require('webpack-obfuscator');

module.exports = {

  entry: {

    'abc': './test/input/index.js',

    'cde': './test/input/index1.js'

  },

  output: {

    path: 'dist',

    filename: '[name].js'

  },

  plugins: [

    new JavaScriptObfuscator({

      rotateUnicodeArray: true

      // 数组内是需要排除的文件

    }, ['abc.js'])

  ]

};

vue cli 项目配置:

// vue.config.js

const path = require('path');

var JavaScriptObfuscator = require('webpack-obfuscator');

module.exports = {

  publicPath: process.env.NODE_ENV === 'production' ? './' : '/',

  productionSourceMap: false,

  configureWebpack: {

    plugins: [

      new JavaScriptObfuscator({

        rotateStringArray: true,

      }, [])

    ]

  },

  pwa: {},

  pages: {}

}

vue cli 2.x 配置在 webpack.prod.conf.js

构建

npm run build

构建文件对比

1. 原始文件

// test.js

function abc() {

    for (let i = 0; i < 10; i++) {

        console.log(`第${i}个,你好,hello`)

    }

}

abc()

2. webpack 默认工具uglifyjs-webpack-plugin

webpackJsonp([2],{lVK7:function(o,l){!function(){for(var o=0;o<10;o++)console.log("第"+o+"个,你好,hello")}()}},["lVK7"]);

3. webpack-obfuscator 无参数时

new JavaScriptObfuscator({

}, [])


var _0x1f6e=["个,你好,hello","lVK7","log"];!function(n,o){!function(o){for(;--o;)n.push(n.shift())}(++o)}(_0x1f6e,323);var _0x3655=function(n,o){return _0x1f6e[n-=0]};webpackJsonp([2],{lVK7:function(n,o){!function(){for(var n=0;n<10;n++)console[_0x3655("0x0")]("第"+n+_0x3655("0x1"))}()}},[_0x3655("0x2")]);

4. webpack-obfuscator 高度混淆

低性能:性能比没有模糊处理慢 50-100%

new JavaScriptObfuscator({

  // 压缩代码

  compact: true,

  // 是否启用控制流扁平化(降低1.5倍的运行速度)

  controlFlowFlattening: true,

  // 应用概率;在较大的代码库中,建议降低此值,因为大量的控制流转换可能会增加代码的大小并降低代码的速度。

  controlFlowFlatteningThreshold: 1,

  // 随机的死代码块(增加了混淆代码的大小)

  deadCodeInjection: true,

  // 死代码块的影响概率

  deadCodeInjectionThreshold: 1,

  // 此选项几乎不可能使用开发者工具的控制台选项卡

  debugProtection: true,

  // 如果选中,则会在“控制台”选项卡上使用间隔强制调试模式,从而更难使用“开发人员工具”的其他功能。

  debugProtectionInterval: true,

  // 通过用空函数替换它们来禁用console.log,console.info,console.error和console.warn。这使得调试器的使用更加困难。

  disableConsoleOutput: true,

  // 标识符的混淆方式 hexadecimal(十六进制) mangled(短标识符)

  identifierNamesGenerator: 'hexadecimal',

  log: false,

  // 是否启用全局变量和函数名称的混淆

  renameGlobals: false,

  // 通过固定和随机(在代码混淆时生成)的位置移动数组。这使得将删除的字符串的顺序与其原始位置相匹配变得更加困难。如果原始源代码不小,建议使用此选项,因为辅助函数可以引起注意。

  rotateStringArray: true,

  // 混淆后的代码,不能使用代码美化,同时需要配置 cpmpat:true;

  selfDefending: true,

  // 删除字符串文字并将它们放在一个特殊的数组中

  stringArray: true,

  stringArrayEncoding: 'rc4',

  stringArrayThreshold: 1,

  // 允许启用/禁用字符串转换为unicode转义序列。Unicode转义序列大大增加了代码大小,并且可以轻松地将字符串恢复为原始视图。建议仅对小型源代码启用此选项。

  transformObjectKeys: true,

  unicodeEscapeSequence: false

}, []),

构建后文件大小: 29,999 字节(29.2 KB)

var _0xa0d1=["w7Bzw6oKw6E=","wrwIUcOVw4M=","w4bChi3DtcOQ","wpLDtsK5w4LDpA==","OUlQwp1z","woEqw4XCtsOe","YR3DrkDCiA==","woAjwq/Ci8KQ","dDNzw5bDgA==",

// ...

("0x201","xatR")]=function(x){return x()},x[_0x34e6("0x202","vdcx")](_0x2c01f8)},4e3);

3. webpack-obfuscator 中等混淆

最佳性能:性能比没有模糊处理慢 30-35%

new JavaScriptObfuscator({

  // 压缩代码

  compact: true,

  // 是否启用控制流扁平化(降低1.5倍的运行速度)

  controlFlowFlattening: true,

  // 应用概率;在较大的代码库中,建议降低此值,因为大量的控制流转换可能会增加代码的大小并降低代码的速度。

  controlFlowFlatteningThreshold: 0.75,

  // 随机的死代码块(增加了混淆代码的大小)

  deadCodeInjection: true,

  // 死代码块的影响概率

  deadCodeInjectionThreshold: 0.4,

  // 此选项几乎不可能使用开发者工具的控制台选项卡

  debugProtection: false,

  // 如果选中,则会在“控制台”选项卡上使用间隔强制调试模式,从而更难使用“开发人员工具”的其他功能。

  debugProtectionInterval: false,

  // 通过用空函数替换它们来禁用console.log,console.info,console.error和console.warn。这使得调试器的使用更加困难。

  disableConsoleOutput: true,

  // 标识符的混淆方式 hexadecimal(十六进制) mangled(短标识符)

  identifierNamesGenerator: 'hexadecimal',

  log: false,

  // 是否启用全局变量和函数名称的混淆

  renameGlobals: false,

  // 通过固定和随机(在代码混淆时生成)的位置移动数组。这使得将删除的字符串的顺序与其原始位置相匹配变得更加困难。如果原始源代码不小,建议使用此选项,因为辅助函数可以引起注意。

  rotateStringArray: true,

  // 混淆后的代码,不能使用代码美化,同时需要配置 cpmpat:true;

  selfDefending: true,

  // 删除字符串文字并将它们放在一个特殊的数组中

  stringArray: true,

  stringArrayEncoding: 'base64',

  stringArrayThreshold: 0.75,

  transformObjectKeys: true,

  // 允许启用/禁用字符串转换为unicode转义序列。Unicode转义序列大大增加了代码大小,并且可以轻松地将字符串恢复为原始视图。建议仅对小型源代码启用此选项。

  unicodeEscapeSequence: false

}, []),

构建后文件大小:7066字节(6.90kb)

var _0x1a25=["UmFzT1U=","RkVIc0o=","VUt2eW4=","Q29IS0g=","V1NSZ0k=","d3RNT2w=","dlV6cUw=","RlpzZWg=","QnpzSlE=","cXBqQ1k=","YXBwbHk=","bFZLNw==","Y3p1Ymo=","TFZlQXE=","Y2NKWlY=","cmV0dXJuIChmdW5jdGlvbigpIA==",

// ...

(b[_0x4bcb("0x2a")]("第"+c,b[_0x4bcb("0x2b")]))}})}},[_0x4bcb("0x2f")]);

4. webpack-obfuscator 低混淆

高性能: 性能稍微慢于没有混淆

new JavaScriptObfuscator({

  // 压缩代码

  compact: true,

  // 是否启用控制流扁平化(降低1.5倍的运行速度)

  controlFlowFlattening: false,

  // 随机的死代码块(增加了混淆代码的大小)

  deadCodeInjection: false,

  // 此选项几乎不可能使用开发者工具的控制台选项卡

  debugProtection: false,

  // 如果选中,则会在“控制台”选项卡上使用间隔强制调试模式,从而更难使用“开发人员工具”的其他功能。

  debugProtectionInterval: false,

  // 通过用空函数替换它们来禁用console.log,console.info,console.error和console.warn。这使得调试器的使用更加困难。

  disableConsoleOutput: true,

  // 标识符的混淆方式 hexadecimal(十六进制) mangled(短标识符)

  identifierNamesGenerator: 'hexadecimal',

  log: false,

  // 是否启用全局变量和函数名称的混淆

  renameGlobals: false,

  // 通过固定和随机(在代码混淆时生成)的位置移动数组。这使得将删除的字符串的顺序与其原始位置相匹配变得更加困难。如果原始源代码不小,建议使用此选项,因为辅助函数可以引起注意。

  rotateStringArray: true,

  // 混淆后的代码,不能使用代码美化,同时需要配置 cpmpat:true;

  selfDefending: true,

  // 删除字符串文字并将它们放在一个特殊的数组中

  stringArray: true,

  stringArrayEncoding: false,

  stringArrayThreshold: 0.75,

  // 允许启用/禁用字符串转换为unicode转义序列。Unicode转义序列大大增加了代码大小,并且可以轻松地将字符串恢复为原始视图。建议仅对小型源代码启用此选项。

  unicodeEscapeSequence: false

}, []),

构建后文件大小: 2,424 字节(2.36 KB)

var _0x37a6=["exception","trace","console","个,你好,hello","lVK7","apply","return (function() ",'{}.constructor("return this")( )',"log","warn","debug","info","error"];!function(n,e){var o=function(e){for(;--e;)n.push(n.shift())};

// ...

[_0xe1fd("0x3")]("第"+n+_0xe1fd("0xb"))}()}},[_0xe1fd("0xc")]);

对比表格

文件名称 文件大小 正常构建 无参数 高度混淆 中度混淆 低度混淆
test.js 117字节 177字节 363字节 29.2 KB(29,999 字节) 6.90KB(7066字节) 2.36 KB(2,424 字节)
jquery.js 111 KB (113,852 字节) 85.0 KB (87,064 字节) 115 KB (117,770 字节) 1.24 MB (1,304,998 字节) 401 KB (411,543 字节) 117 KB (120,243 字节)

主要属性

{

  // 压缩,无换行

  compact: true,

  // 是否启用控制流扁平化(降低1.5倍的运行速度)

  controlFlowFlattening: false,

  // 应用概率;在较大的代码库中,建议降低此值,因为大量的控制流转换可能会增加代码的大小并降低代码的速度。

  controlFlowFlatteningThreshold: 0.75,

  // 随机的死代码块(增加了混淆代码的大小)

  deadCodeInjection: false,

  // 死代码块的影响概率

  deadCodeInjectionThreshold: 0.4,

  // 此选项几乎不可能使用开发者工具的控制台选项卡

  debugProtection: false,

  // 如果选中,则会在“控制台”选项卡上使用间隔强制调试模式,从而更难使用“开发人员工具”的其他功能。

  debugProtectionInterval: false,

  // 通过用空函数替换它们来禁用console.log,console.info,console.error和console.warn。这使得调试器的使用更加困难。

  disableConsoleOutput: false,

  //锁定混淆的源代码,使其仅在特定域和/或子域上运行。这使得某人只需复制并粘贴您的源代码并在其他地方运行就变得非常困难。

  domainLock: [],

  //标识符的混淆方式 hexadecimal(十六进制) mangled(短标识符)

  identifierNamesGenerator: 'hexadecimal',

  //全局标识符添加特定前缀,在混淆同一页面上加载的多个文件时使用此选项。此选项有助于避免这些文件的全局标识符之间发生冲突。为每个文件使用不同的前缀

  identifiersPrefix: '',

  inputFileName: '',

  // 允许将信息记录到控制台。

  log: false,

  // 是否启用全局变量和函数名称的混淆

  renameGlobals: false,

  // 禁用模糊处理和生成标识符

  reservedNames: [],

  // 禁用字符串文字的转换

  reservedStrings: [],

  // 通过固定和随机(在代码混淆时生成)的位置移动数组。这使得将删除的字符串的顺序与其原始位置相匹配变得更加困难。如果原始源代码不小,建议使用此选项,因为辅助函数可以引起注意。

  rotateStringArray: true,

  // 混淆后的代码,不能使用代码美化,同时需要配置 cpmpat:true;

  seed: 0,

  selfDefending: false,

  sourceMap: false,

  sourceMapBaseUrl: '',

  sourceMapFileName: '',

  sourceMapMode: 'separate',

  // 删除字符串文字并将它们放在一个特殊的数组中

  stringArray: true,

  // 编码的所有字符串文字stringArray使用base64或rc4并插入即用其解码回在运行时的特殊代码。true(boolean):stringArray使用编码值base64;false(boolean):不编码stringArray值;'base64'(string):stringArray使用编码值base64;'rc4'(string):stringArray使用编码值rc4。大约慢30-50%base64,但更难获得初始值。建议禁用unicodeEscapeSequence带rc4编码的选项以防止非常大的混淆代码。

  stringArrayEncoding: false,

  // 调整字符串文字将插入stringArray的概率

  stringArrayThreshold: 0.75,

  // 您可以将混淆代码的目标环境设置为以下之一:Browser;Browser No Eval;Node

  target: 'browser',

  // 是否启用混淆对象键

  transformObjectKeys: false,

  // 允许启用/禁用字符串转换为unicode转义序列。Unicode转义序列大大增加了代码大小,并且可以轻松地将字符串恢复为原始视图。建议仅对小型源代码启用此选项。

  unicodeEscapeSequence: false

}

注意

安装 webpack-obfuscator 时要注意webpack-obfuscator的版本要与本地项目 webpack 版本相匹配,我用的是webpack-obfuscator@0.18.0 项目 webpack4.x 版本。(4.x版webpack 使用最新版 webpack-obfuscator@3.3.0 会报错无法使用,webpack 杳升级到 5.x 版本)

文章地址:https://www.cnblogs.com/dragonir/p/14445767.html 作者:dragonir

相关文章参考:js代码混淆 webpack-obfuscator https://blog.csdn.net/qq_31126175/article/details/86526237

vue项目配置 `webpack-obfuscator` 进行代码加密混淆的更多相关文章

  1. 如何在你的Vue项目配置vux

    做移动端项目的话vue现在是首要的选择,足够轻便,文档足够全,当然用的人多,项目中遇到的坑别人可能也遇到过,解决起来也比较方便,至于在开发中做需要的移动端组件库,个人比较推崇vux. 其实项目里组件库 ...

  2. vue项目搭建和开发流程 vue项目配置ElementUI、jQuery和Bootstrap环境

    目录 一.VUE项目的搭建 1. 环境搭建 2. 项目的创建和启动 二. 开发项目 1. 配置vue项目启动功能 2. 开发vue项目 (1)项目文件的作用 (2)vue项目开发流程 (3)vue项目 ...

  3. 基于Typescript的Vue项目配置国际化

    基于Typescript的Vue项目配置国际化 简介 使用vue-i18n插件对基于Typescript的vue项目配置国际化,切换多种语言, 配合element-ui或者其他UI库 本文以配置中英文 ...

  4. vue项目实战, webpack 配置流程记录

    vue项目实战记录,地址在这 购物车单界面 npm install npm run dev 跑起来可以看到界面效果 这里简单记录一下webpack的编译流程 入口 package.json " ...

  5. Vue 项目配置

    配置Vue的app项目首先需要配置本地环境. 1.下载node.js并且安装.(根据自己电脑参数进行选择) 打开cmd,检查是否安装成功. 分别输入: node -v npm -v 结果如图正确显示出 ...

  6. vue项目之webpack打包静态资源路径不准确

    摘自:https://blog.csdn.net/viewyu12345/article/details/83187815 问题 将打包好的项目部署到服务器,发现报错说图片找不到. 静态资源如js访问 ...

  7. vue项目配置及代理解决跨域

    axios数据请求 1.下载模块:npm install axios 2.axios特点: 1.支持在浏览器当中发起XMLHttpRequest请求 2.支持Promise 3.自动转换json数据 ...

  8. Vue项目用webpack打包后,预览时资源路径出错(文末有vue项目链接分享)

    最近用vue写了一些项目,项目写完之后需要打包之后才能放到网上展示,所以在这里记录一下项目打包的过程以及遇到的一些问题. --------------------------------------- ...

  9. 用vue-cli来搭建vue项目和webpack

    vue-cli 用vue-cli来搭建vue项目 第一步:全局安装vue-cli sudo npm install vue-cli -g 第二步:初始化一个项目 vue init webpack-si ...

随机推荐

  1. Selenium爬虫实践(踩坑记录)之ajax请求抓包、浏览器退出

    上一篇: 使用Selenium截取网页上的图片 前言 最近在搞公司内部系统,累的一批,需要从另一个内部系统导出数据存到数据库做分析,有大量的数据采集工作,又没办法去直接拿到那个系统的接口,太难了,只能 ...

  2. 二进制方法-部署k8s集群部署1.18版本

    二进制方法-部署k8s集群部署1.18版本 1. 前置知识点 1.1 生产环境可部署kubernetes集群的两种方式 目前生产部署Kubernetes集群主要有两种方式 kuberadm Kubea ...

  3. CF600 div2 F.Cheap Robot(思维+最短路+最小瓶颈路)

    最开始啃这题的时候我还是个不会$lca$的人,看代码看的没有一点头绪,现在趁着寒假补了很多关于图论的知识点,回头在看这题还是有很多值得学习的地方. Solution 1 (offline): 原题解: ...

  4. Codeforces Global Round 11【ABCD】

    比赛链接:https://codeforces.com/contest/1427 A. Avoiding Zero 题意 将 \(n\) 个数重新排列使得不存在为 \(0\) 的前缀和. 题解 计算正 ...

  5. HDU6321 Dynamic Graph Matching【状压DP 子集枚举】

    HDU6321 Dynamic Graph Matching 题意: 给出\(N\)个点,一开始没有边,然后有\(M\)次操作,每次操作加一条无向边或者删一条已经存在的边,问每次操作后图中恰好匹配\( ...

  6. 【LA 3487】Duopoly(图论--网络流最小割 经典题)

    题意:C公司有一些资源,每种只有1个,有A.B两个公司分别对其中一些资源进行分组竞标,每组竞标对一些资源出一个总价.问C公司的最大收益. 解法:最小割.将A公司的竞标与源点相连,B公司的与汇点相连,边 ...

  7. CF-gym/101810 J、T-Shirts Dilemma

    题目链接:点我 题意: 给你一个区间[a,b],让你从里面选一个连续子区间[x,y](子区间可以为[a,b]),把这个区间的所有数或起来x|x+1|x+2|...|y 你要使得区间[x,y]异或起来的 ...

  8. 【noi 2.6_1759】LIS 最长上升子序列(DP,3种解法)

    题意我就不写了.解法有3种: 1.O(n^2).2重循环枚举 i 和 j,f[i]表示前 i 位必选 a[i] 的最长上升子序列长度,枚举a[j]为当前 LIS 中的前一个数. 1 #include& ...

  9. 加密算法——RSA算法(c++简单实现)

    RSA算法原理转自:https://www.cnblogs.com/idreamo/p/9411265.html C++代码实现部分为本文新加 RSA算法简介 RSA是最流行的非对称加密算法之一.也被 ...

  10. Vue的七种传值方式

    目录 1,父传子 2,子传父 3,兄弟组件传值 4,父组件使用子组件的数据和方法 5,子组件使用父组件的数据和方法 6,Vuex传值 6.1,定义store 6.2,挂载 6.3,使用 7,路由传值 ...