打包后dist包中app.**.js文件暴露大量接口信息,webpack-obfuscator对打包后的js代码混淆加密

最新推荐文章于 2024-07-30 23:06:43 发布
最新推荐文章于 2024-07-30 23:06:43 发布
阅读量1.7k 收藏 3
点赞数
分类专栏: Vue 文章标签: javascript webpack vue.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Anyuegogogo/article/details/130291101
版权

问题描述

打包后dist包中app.**.js文件暴露大量接口信息,而webpack-obfuscator可以对打包后的js代码混淆加密

版本信息

webpack: 4.x.x
node: 14.18.0
webpack@4环境下使用webpack-obfuscator不能使用最新版本
我的下载版本是:

npm install --save-dev webpack-obfuscator@2.6.0 javascript-obfuscator@2.5.0

项目中使用

在vue.config.js中的configureWebpack中配置
注意第二个参数[‘static/js/!(app.**.js)’]的意思是:除了app.xxx.js文件外的js文件都不需要加密

const WebpackObfuscator  = require('webpack-obfuscator');
// 这里可自行决定要不要在开发环境使用
const isBuild = process.env.VUE_APP_CURRENTMODE !== 'development';
module.exports = {
  configureWebpack: config => {
    if (isBuild) {
      // 主要代码
      config.plugins.push(
        new WebpackObfuscator({
          // 压缩代码
          compact: true,
          // 是否启用控制流扁平化(降低1.5倍的运行速度)
          controlFlowFlattening: false,
          // 随机的死代码块(增加了混淆代码的大小)
          deadCodeInjection: false,
          // 此选项几乎不可能使用开发者工具的控制台选项卡
          debugProtection: false,
          // 如果选中,则会在“控制台”选项卡上使用间隔强制调试模式,从而更难使用“开发人员工具”的其他功能。
          debugProtectionInterval: false,
          // 通过用空函数替换它们来禁用console.log,console.info,console.error和console.warn。这使得调试器的使用更加困难。
          disableConsoleOutput: true,
          // 标识符的混淆方式 hexadecimal(十六进制) mangled(短标识符)
          identifierNamesGenerator: 'hexadecimal',
          log: false,
          // 是否启用全局变量和函数名称的混淆
          renameGlobals: false,
          // 通过固定和随机(在代码混淆时生成)的位置移动数组。这使得将删除的字符串的顺序与其原始位置相匹配变得更加困难。如果原始源代码不小,建议使用此选项,因为辅助函数可以引起注意。
          rotateStringArray: true,
          // 混淆后的代码,不能使用代码美化,同时需要配置 cpmpat:true;
          selfDefending: true,
          // 删除字符串文字并将它们放在一个特殊的数组中
          stringArray: true,
          //这里是网上复制来的代码改的,不然会报错,具体报错看下面的贴的!!!!!!!!!!!!!!!!!!!
          // stringArrayEncoding: false,
          stringArrayEncoding: ['base64'],
          stringArrayThreshold: 0.75,
          // 允许启用/禁用字符串转换为unicode转义序列。Unicode转义序列大大增加了代码大小,并且可以轻松地将字符串恢复为原始视图。建议仅对小型源代码启用此选项。
          unicodeEscapeSequence: false
        }, ['static/js/!(app.**.js)']),
      )
    }
  },
};

使用该插件后的效果

确实app.**.js中的代码会被加密,且其他文件的js代码不会被加密

使用改插件遇到的问题

在两个项目中都有尝试这个插件,有一个项目npm run dev运行以及npm run build打包都没有问题,页面可以正常显示
但,另一个项目npm run build打包再预览没有问题,npm run dev跑也不会报错,但打开页面是空白,并且控制台报错如下
在这里插入图片描述
问题出在第三方包:sockjs-client,但是我的package.json中并没有这个包,package-lock.json中一看,是webpack-dev-server requires 的包,而webpack-dev-server又是@vue/cli-service requires 的包。
对比两个项目,发现版本确实有不同
我尝试sockjs-client和webpack-dev-server安装可行项目的版本,然并卵
最后@vue/cli-service requires安装另一个可行项目的版本,后面直接打包都报错了,不过神奇的是npm run dev可以运行并打开页面。但是打包都报错这显然是不对的。
目前还没找到好的解决办法,如果要在项目中使用的话,可以只在生产时使用该插件,这样也不会影响到开发

参考文档:
参考一
参考二
参考三
参考五
参考六

暗月Moon
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
webpack打包使用eval加密混淆深度压缩
weixin_44065125的博客
12-10 2538
js代码加密、压缩、混淆
信息泄露漏洞的JS整改方案
2301_79527128的博客
04-09 458
针对线上生产环境中的JS代码,我们介绍了去除注释、变量更名和代码混淆等多种整改方法。在选择合适的方法时,需要权衡安全性与可维护性之间的关系,并根据实际需求做出决策。在开发环境中保留注释可以提高代码的可读性和维护性,但在生产环境中应尽量去除注释以减少信息泄露的风险。通过以上整改方法,我们可以有效地提升系统的安全性,防范JS信息泄露漏洞的风险。
Vue反编译dist包到源码
程序员成长指北
06-20 119
大厂技术高级前端Node进阶 点击上方程序员成长指北,关注公众号 回复1,加入高级Node交流群最近由于公司老项目上的问题,由于项目很老,之前交接的源码包中缺少了很大一部分模块,但是现在线上的环境和dist包是正常运行的,领导希望能够手动将这部分补全,由于前期项目的不规范,缺少接口文档以及原型图,因此无法知道到底该如何补全,因此,我想着能不能通过dist包去反编译源码包呢,经过多方面探索...
排查 Web AppJS 内存泄露小结
可口可乐的博客
11-10 1207
转载地址:https://testerhome.com/topics/3589 排查Web AppJS内存泄露小结 一、概述  所测试的项目是带角色交互的APP,其教师端是Hybird APP(主要控件是Native,页面内容基于Webview),学生端是一个基于Webview的APP。在测试过程中,几十次使用教师端翻页按钮,出现教师端概率性Crash。或者教师端将带音频和
vue2项目webpack打包混淆,代码加密
xhd11257339的博客
06-08 3173
domainLock: [], // 锁定混淆的源代码,使其仅在特定域和/或子域上运行。deadCodeInjection: true, // 此选项大大增加了混淆代码的大小(最多200%) 此功能将随机的死代码块(即:不会执行的代码)添加到混淆输出中,从而使得更难以进行反向工程设计。seed: 0, // 默认情况下(seed = 0),每次混淆代码时都会得到一个新结果(即:不同的变量名,插入stringArray的不同变量等)。如果需要可重复的结果,请将种子设置为特定的整数。启用代码控制流展平。
WebPack插件实现:打包之后自动混淆加密JS文件
w2sft的博客
05-29 752
WebPack中调用JShaman,实现对编译打包生成的JS文件混淆加密
vue js代码打包加密
weixin_45969830的博客
04-08 3372
vue js代码打包加密 安装两个依赖npm install --save-dev webpack-obfuscator@2.6.0 javascript-obfuscator@2.6.0 vue.config.js中引入 const WebpackObfuscator = require(‘webpack-obfuscator’); 生产环境配置 configureWebpack(config) { if (process.env.NODE_ENV === ‘production’) { config.p
vue-cli打包后本地运行dist文件中的index.html操作
10-14
打包后的dist文件夹是存放所有打包生成的静态资源的地方,包括index.html、JavaScript文件、CSS文件等。 在打包完成后,我们通常需要将dist文件夹中的内容部署到服务器上,但在部署之前,往往需要在本地环境中测试...
使用vue打包时vendor文件过大或者是app.js文件很大的问题
12-09
第一次使用vue2.0开发,之前都是用的angular1.x。...然后找到build/webpack.base.conf.js文件,在 module.exports = { } 中添加以下代码 externals: { 'vue': 'Vue', 'vue-router': 'VueRouter',
crx-webpack-plugin:用于打包 chrome 扩展 (crx) 后构建的 webpack 插件
05-29
用于打包 chrome 扩展 (crx) 后构建的 webpack 插件 用法 var Crx = require ( "crx-webpack-plugin" ) ; module . exports = { plugins : [ new Crx ( { keyFile : 'key.pem' , contentPath : 'build' , ...
vue.js 2.*项目环境搭建、运行、打包发布的详细步骤
10-17
Vue.js 是一个流行的前端JavaScript框架,用于构建用户界面。在Vue.js 2.*版本中,项目的环境搭建、运行和打包发布是开发流程的基础步骤。以下将详细介绍这些过程。 首先,开始环境搭建。Vue.js 2.*项目需要Node.js...
国内最强的JSJavascript)压缩混淆加密
05-09
随着 AJAX 和富界面技术的发展,Javascript 在 Web 应用上的重要性越来越高,Javascript 代码的复杂性、功能和技术含量也越来越高,对Javascript 代码保护的需要也越来越迫切。 HDS JSObfuscator是HDS通过对当前市面上的同类工具分析和总结后而开发的Javascript压缩混淆加密器。与同类工具相比,它是当前市面上功能较强,使用约束较小的工具之一。它兼顾了压缩、混淆加密三大功能,用户可以选择只压缩或只混淆或只加密,也可以选择既混淆加密,给Javascript代码加上双保险。它还可以将乱七八糟的代码转化成排版工整的易于阅读的代码。它还可以进行批量文件处理,解决了文件间关联变量混淆后出现的问题。用户可以根据自身需要,自由选择混淆设置选项,以产生不同效果的混淆代码。特别指出,该工具对用户Javascript代码编程规范的约束极小,可以说几乎没有,不像市面上有些工具必须按照一定的规则进行编码才行。 同时,HDS JSObfuscator还具有批量管理复制各类更新过的文件和合并文件的强大功能。 由于个人能力和精力有限,工具存在问题和不足在所难免,希望大家多多批评指正。 最新版下载:http://www.moralsoft.com/products/download.htm
VUEapp.**.js代码混淆加密,防止信息泄露
2301_78003330的博客
05-22 1753
(app.**.js)’]的意思是:除了app.xxx.js文件外的js文件都不需要加密。1、使用webpack-obfuscator插件。2、在vue.config.js中添加代码
深入了解Webpack:特性、特点和结合JS混淆加密的实例
mxd01848的博客
08-26 1726
Webpack是一个功能强大的前端构建工具,具备模块化管理、加载器、插件、代码优化等一系列特性。通过结合WebpackJS混淆加密,我们可以保护代码的安全性,同时优化资源文件,提升Web应用程序的性能和用户体验。每个模块都有自己的依赖关系,Webpack能够自动解析这些依赖,从而构建出一个整体的资源文件。HMR是Webpack的一个强大特性,它允许在开发过程中实时更新模块,无需刷新整个页面。Webpack可以通过压缩、混淆代码分割来优化资源文件,减小文件大小,提高加载速度。
前端Vue项目webpack打包部署后源码泄露解决
yan_danfeng的博客
02-02 7236
Vue项目,经Webpack打包部署到服务器后,访问并打开开发者模式,在Source下出现[name]路径,内部包含(webpack)buildin文件夹,因此漏洞检测中的源码泄露警告。
js文件泄露的作用
山兔的博客
03-10 356
会增加攻击面(URL、接口、域名)敏感信息(用户名密码、ak/sk、token/session)代码中的潜在危险函数(eval、dangerallySetInnerHTML)具有已知漏洞的框架(JQuery、React)
前端代码混淆加密(使用Terser、WebpackObfuscator
最新发布
@Fonden
07-30 510
(注意Terser和WebpackObfuscator引入的方式不同,后者是放到plugins中)② 在 Terser 之后使用 WebpackObfuscator 进行混淆。以此在网上查找到相应工具有:Terser、WebpackObfuscator。① 使用 Terser 进行代码压缩和 source map 生成,② 设置在生产环境中才去使用混淆加密工具(开发环境会产生各种报错)为了对公司项目进行安全防护措施,前端需要进行代码混淆加密处理。压缩代码、变量和函数名混淆、删除未使用代码
解一个webpack打包加密JS代码
mxd01848的博客
12-08 965
对文章内容有疑问或者有建议的朋友欢迎在评论区说出来,或者使用私信功能给我留言。或者到 jsjiami.com 官网底部有我联系方式。在线一键加密解密JS代码
js对本地文件进行加密_webpack配置,对js文件进行加密
weixin_33427476的博客
12-13 3047
有的vue项目为提高安全系数,防止js文件敏感信息的泄露,会提出对dist中的js进行加密的需求。解决方案:1. 在build目录下新建js-encode-plugin.js文件(写一个JsEncodePlugin插件),内容如下;// 1、js-encode-plugin.js 文件(webpackjs加密插件)const fs = require('fs');//node的文件系统...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值