非服务端js因为最终要下载到客户端/浏览器编译执行,所以不可避免的要把代码泄漏出去。虽然压缩混淆可以让代码难以识别,但字符串/全局对象都不能被压缩,可以根据这方面入手来找寻突破口,进而对代码进行调试。这里抛砖引玉的分享一个阻止别人在浏览器调试代码的方法。
目前多数浏览器都支持debugger断点代码,只要打开devtools,代码执行到debugger位置时,就会断点。而如若没有打开devtools,则不受影响。所以可以根据这个特性来尝试检测用户是否打开了devtools,代码如下
[html] view plain copy print?- function checkDebugger(){
- const d=new Date();
- debugger;
- const dur=Date.now()-d;
- if(dur<5){
- return false;
- }else{
- return true;
- }
- }
function checkDebugger(){
const d=new Date();
debugger;
const dur=Date.now()-d;
if(dur<5){
return false;
}else{
return true;
}
}
打开devtools后执行改方法,因为会被断点,以人的手速很难在5ms内点掉断点,这里通过时间差来判断是否打开devtools
于是可以通过递归写个无限断点的方法,如若打开devtools,执行到该方法则会一直被断点。
[html] view plain copy print?- function breakDebugger(){
- if(checkDebugger()){
- breakDebugger();
- }
- }
function breakDebugger(){
if(checkDebugger()){
breakDebugger();
}
}
所以可以在不希望被调试的代码中,执行这个方法就不会被执行下去,除非对方关闭devtools。简单实例如下
[html] view plain copyprint?- <!DOCTYPE html>
- <html lang="en">
- <head>
- <meta charset="UTF-8">
- <title>Title</title>
- </head>
- <body>
- 123
- <script>
- function checkDebugger(){
- const d=new Date();
- debugger;
- const dur=Date.now()-d;
- if(dur<5){
- return false;
- }else{
- return true;
- }
- }
- function breakDebugger(){
- if(checkDebugger()){
- breakDebugger();
- }
- }
- document.body.onclick=function(){
- breakDebugger();
- alert(1);
- };
- </script>
- </body>
- </html>
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
123
<script>
function checkDebugger(){
const d=new Date();
debugger;
const dur=Date.now()-d;
if(dur<5){
return false;
}else{
return true;
}
}
function breakDebugger(){
if(checkDebugger()){
breakDebugger();
}
}
document.body.onclick=function(){
breakDebugger();
alert(1);
};
</script>
</body>
</html>
自然,对于不支持debugger的浏览器不会生效。另外因为毕竟已经下载到了客户端,用心想的话还是很容易被破解,作为加大调试难度的一个坎来用吧