背景

随着前端技术的发展,特别是单页应用(SPA)的普及,越来越多的应用逻辑和业务代码暴露在客户端浏览器中运行。这使得应用代码容易被查看、复制甚至修改,从而可能引发安全问题或商业机密泄露。

可以通过浏览器控制台查看页面源码, 如下图:
在这里插入图片描述

webpack-obfuscator 介绍

webpack-obfuscator 是一个用于混淆 Webpack 打包后的 JavaScript 代码的插件。它通过对代码进行混淆处理,使原始代码变得难以阅读和理解,从而保护代码的知识产权和业务逻辑。这种混淆通常包括变量重命名、字符串加密、控制流扁平化等技术手段。webpack-obfuscator 可以在构建过程中对 JavaScript 代码进行混淆,使其在部署到生产环境时更加安全。

安装

npm install webpack-obfuscator@2.6.0 javascript-obfuscator@3.2.7 --save-dev
# 或者
yarn add webpack-obfuscator@2.6.0 javascript-obfuscator@3.2.7 --dev

注意: 上面安装的版本对应的 webpack 4.47.0版本, 如果是 webpack 是低版本,对应的插件版本也要降低

参数解析

混淆选项 (options)

  • compact (boolean): 是否压缩输出的代码,默认为 true
  • controlFlowFlattening (boolean): 是否启用控制流扁平化,默认为 false
  • controlFlowFlatteningThreshold (number): 控制流扁平化的阈值,默认为 0.75。
  • deadCodeInjection (boolean): 是否注入死代码,默认为 false
  • deadCodeInjectionThreshold (number): 死代码注入的阈值,默认为 0.4。
  • debugProtection (boolean): 是否启用调试保护,默认为 false。
  • debugProtectionInterval (boolean): 是否启用调试保护间隔,默认为 false。
  • domainLock (Array<string>): 锁定指定的域名,默认为空数组。
  • identifierNamesGenerator (string): 生成标识符名称的方式,默认为 'mangled'
  • log (boolean): 是否记录混淆过程,默认为 false
  • numbersToExpressions (boolean): 是否将数字转换为表达式,默认为 false
  • renameGlobals (boolean): 是否重命名全局变量,默认为 false
  • rotateStringArray (boolean): 是否启用字符串数组旋转,默认为 false
  • selfDefending (boolean): 是否启用自我防御,默认为 false
  • simplify (boolean): 是否简化输出代码,默认为 true
  • sourceMap (boolean | string): 是否生成源映射,默认为 false
  • sourceMapMode (string): 源映射模式,默认为 'separate'
  • splitStrings (boolean): 是否将字符串分割成多个较小的字符串,默认为 false
  • stringArrayEncoding (Array<string>): 字符串数组编码方式,默认为空数组。
  • stringArrayEncodingThreshold (number): 字符串数组编码的阈值,默认为 0.75。
  • stringArrayThreshold (number): 字符串数组阈值,默认为 0.75。
  • stringArrayWrappersCount (number): 字符串数组包装器的数量,默认为 2。
  • stringArrayWrappersChainedCalls (number): 字符串数组包装器链式调用的数量,默认为 2。
  • stringArrayWrappersParametersMaxCount (number): 字符串数组包装器参数的最大数量,默认为 2。
  • stringArrayWrappersParametersMinCount (number): 字符串数组包装器参数的最小数量,默认为 1。
  • stringArrayWrappersType (string): 字符串数组包装器的类型,默认为 ‘variable’。
  • stringArrayWrappersVarNames (Array<string>): 字符串数组包装器变量名称,默认为空数组。
  • stringArrayIndexShift (boolean): 是否对字符串数组索引进行偏移,默认为 false
  • shuffleStringArray (boolean): 是否打乱字符串数组,默认为 false
  • transformObjectKeys (boolean): 是否转换对象键,默认为 false
  • transformObjectKeysBlackList (Array<string>): 不转换的对象键黑名单,默认为空数组。
  • transformObjectKeysRecursive (boolean): 是否递归转换对象键,默认为 false
  • transformObjectKeysWhitelist (Array<string>): 转换的对象键白名单,默认为空数组。
  • unicodeEscapeSequence (boolean): 是否使用 Unicode 逃逸序列,默认为 false
  • useStrictSemicolons (boolean): 是否使用严格的分号,默认为 false
  • wrapCode (boolean): 是否包裹代码,默认为 false
  • wrapComments (boolean): 是否包裹注释,默认为 false

排除选项 (exclude)

  • exclude (Array<string> | RegExp): 排除不需要混淆的模块或文件。

请注意,上述配置示例包含了所有可用的参数,但在实际项目中,你可能只需要设置其中的一部分。强烈建议根据项目需求调整这些选项,以达到最佳的混淆效果并保持代码的可维护性和性能。

配置示例

接下来,在你的 webpack.config.js 文件中配置 webpack-obfuscator 插件。以下是一个简单的示例配置:

const path = require("path");

const TerserPlugin = require("terser-webpack-plugin");

const WebpackObfuscator = require('webpack-obfuscator');

module.exports = {
  configureWebpack: (config) => {
      config.resolve = {
        ...config.resolve,
        alias: {
          "@": resolve("src"),
        }
      },
      config.optimization = {
        ...config.minimizer,
        minimizer: [
          new TerserPlugin({
            terserOptions: {
              compress: {
                drop_console: true,
              },
            },
          }),
        ]
      }

    if (process.env.NODE_ENV === 'production') {
      config.plugins.push(
        new WebpackObfuscator({
          // 压缩代码
          compact: true,
          // 是否启用控制流扁平化(降低1.5倍的运行速度)
          controlFlowFlattening: false,
          // 随机的死代码块(增加了混淆代码的大小)
          deadCodeInjection: false,
          // 此选项几乎不可能使用开发者工具的控制台选项卡
          debugProtection: false,
          // 如果选中,则会在“控制台”选项卡上使用间隔强制调试模式,从而更难使用“开发人员工具”的其他功能。
          debugProtectionInterval: false,
          // 通过用空函数替换它们来禁用console.log,console.info,console.error和console.warn。这使得调试器的使用更加困难。
          disableConsoleOutput: true,
          // 标识符的混淆方式 hexadecimal(十六进制) mangled(短标识符)
          identifierNamesGenerator: 'hexadecimal',
          log: false,
          // 是否启用全局变量和函数名称的混淆
          renameGlobals: false,
          // 通过固定和随机(在代码混淆时生成)的位置移动数组。这使得将删除的字符串的顺序与其原始位置相匹配变得更加困难。如果原始源代码不小,建议使用此选项,因为辅助函数可以引起注意。
          rotateStringArray: true,
          // 混淆后的代码,不能使用代码美化,同时需要配置 cpmpat:true;
          selfDefending: true,
          // 删除字符串文字并将它们放在一个特殊的数组中
          stringArray: true,
          rotateUnicodeArray: true,
          //  stringArrayEncoding: 'base64',
          stringArrayEncoding: ['base64'],
          stringArrayThreshold: 0.75,
          // 允许启用/禁用字符串转换为unicode转义序列。Unicode转义序列大大增加了代码大小,并且可以轻松地将字符串恢复为原始视图。建议仅对小型源代码启用此选项。
          unicodeEscapeSequence: false,
          // 允许启用/禁用字符串转换为unicode转义序列。Unicode转义序列大大增加了代码大小,并且可以轻松地将字符串恢复为原始视图。建议仅对小型源代码启用此选项。
          transformObjectKeys: true,

		  // 排除选项
      	  exclude: [/node_modules/, /\.min\.js$/]
        })
      )
    }
  },
}

代码混淆后
在这里插入图片描述

运行 npm run dev 报错 Error: The number of constructor arguments in the derived class t must be >= than the number of constructor arguments of its base class.

在这里插入图片描述
上述报错说明项目的 webpack 版本对应的 webpack-obfuscatorjavascript-obfuscator 版本过低导致报错

运行 npm run dev 报错 TypeError: Cannot read property ‘tap’ of undefined

在这里插入图片描述
上述报错说明项目的 webpack 版本对应的 webpack-obfuscatorjavascript-obfuscator 版本过高导致报错

查看 webpack 对应 webpack-obfuscator 版本可以去 git 官网的 tagspackage.json 上进行详细查看

git 官网: https://github.com/javascript-obfuscator/webpack-obfuscator/tags

在这里插入图片描述

运行npm run build 打包时出现错误 TypeError: Cannot read property ‘sourceAndMap’ of undefined

在这里插入图片描述
npm官网文档也写到了 Warning: right now plugin does not support sourceMap and sourceMapMode options!在这里插入图片描述
解决方法:

修改 configureWebpack 配置, 将configureWebpack的对象模式改成函数形式

在这里插入图片描述
配置如下:

module.exports = {
  configureWebpack: (config) => {
    if (process.env.NODE_ENV === 'production') {
      config.plugins.push(
        new WebpackObfuscator({
          // 压缩代码
          compact: true,
          // 是否启用控制流扁平化(降低1.5倍的运行速度)
          controlFlowFlattening: false,
          // 随机的死代码块(增加了混淆代码的大小)
          deadCodeInjection: false,
          // 此选项几乎不可能使用开发者工具的控制台选项卡
          debugProtection: false,
          // 如果选中,则会在“控制台”选项卡上使用间隔强制调试模式,从而更难使用“开发人员工具”的其他功能。
          debugProtectionInterval: false,
          // 通过用空函数替换它们来禁用console.log,console.info,console.error和console.warn。这使得调试器的使用更加困难。
          disableConsoleOutput: true,
          // 标识符的混淆方式 hexadecimal(十六进制) mangled(短标识符)
          identifierNamesGenerator: 'hexadecimal',
          log: false,
          // 是否启用全局变量和函数名称的混淆
          renameGlobals: false,
          // 通过固定和随机(在代码混淆时生成)的位置移动数组。这使得将删除的字符串的顺序与其原始位置相匹配变得更加困难。如果原始源代码不小,建议使用此选项,因为辅助函数可以引起注意。
          rotateStringArray: true,
          // 混淆后的代码,不能使用代码美化,同时需要配置 cpmpat:true;
          selfDefending: true,
          // 删除字符串文字并将它们放在一个特殊的数组中
          stringArray: true,
          rotateUnicodeArray: true,
          //  stringArrayEncoding: 'base64',
          stringArrayEncoding: ['base64'],
          stringArrayThreshold: 0.75,
          // 允许启用/禁用字符串转换为unicode转义序列。Unicode转义序列大大增加了代码大小,并且可以轻松地将字符串恢复为原始视图。建议仅对小型源代码启用此选项。
          unicodeEscapeSequence: false,
          // 允许启用/禁用字符串转换为unicode转义序列。Unicode转义序列大大增加了代码大小,并且可以轻松地将字符串恢复为原始视图。建议仅对小型源代码启用此选项。
          transformObjectKeys: true,
        })
      )
    }
  },
}
# webpack # 前端 # node.js # vue.js # javascript
Logo
开放原子开发者工作坊

开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!

更多推荐

第二届开放原子大赛首批创新成果集结武汉,诚邀广大开发者共鉴开源技术盛宴

第二届开放原子大赛首批创新成果集结武汉,诚邀广大开发者共鉴开源技术盛宴

avatar 开放原子开发者工作坊

诚邀报名 | 开源基础设施能力建设分论坛:打造开源生态的“心脏”

诚邀报名 | 开源基础设施能力建设分论坛:打造开源生态的“心脏”

avatar 开放原子开发者工作坊

诚邀报名 | 编程语言分论坛:AI时代的技术革新与开源实践

诚邀报名 | 编程语言分论坛:AI时代的技术革新与开源实践

avatar 开放原子开发者工作坊