非服务端js因为最终要下载到客户端/浏览器编译执行,所以不可避免的要把代码泄漏出去。虽然压缩混淆可以让代码难以识别,但字符串/全局对象都不能被压缩,可以根据这方面入手来找寻突破口,进而对代码进行调试。这里抛砖引玉的分享一个阻止别人在浏览器调试代码的方法。
目前多数浏览器都支持debugger断点代码,只要打开devtools,代码执行到debugger位置时,就会断点。而如若没有打开devtools,则不受影响。所以可以根据这个特性来尝试检测用户是否打开了devtools,代码如下
function checkDebugger(){
const d=new Date();
debugger;
const dur=Date.now()-d;
if(dur<5){
return false;
}else{
return true;
}
}
打开devtools后执行改方法,因为会被断点,以人的手速很难在5ms内点掉断点,这里通过时间差来判断是否打开devtools
于是可以通过递归写个无限断点的方法,如若打开devtools,执行到该方法则会一直被断点。
function breakDebugger(){
if(checkDebugger()){
breakDebugger();
}
}
所以可以在不希望被调试的代码中,执行这个方法就不会被执行下去,除非对方关闭devtools。简单实例如下
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
123
<script>
function checkDebugger(){
const d=new Date();
debugger;
const dur=Date.now()-d;
if(dur<5){
return false;
}else{
return true;
}
}
function breakDebugger(){
if(checkDebugger()){
breakDebugger();
}
}
document.body.onclick=function(){
breakDebugger();
alert(1);
};
</script>
</body>
</html>
自然,对于不支持debugger的浏览器不会生效。另外因为毕竟已经下载到了客户端,用心想的话还是很容易被破解,作为加大调试难度的一个坎来用吧