如题,非常业余前端工程师,最近突然想混淆一下前端代码。
一个需求场景是,比如进行 csrf 校验的时候,虽然每个 ID 的唯一 token 是由后端生成的,理论上我倒是完全不担心安全问题。但是为了减小后端压力,降低请求次数,一般每个账号绑定 token 只有前端框架刚加载的时候请求一次,后面前端繁杂的 api 各自的 token 都是基于这个 token 再次由前端二次生成的。
感觉不混淆的话,代码明晃晃放在那里,别人 F12 一看好家伙你就加了个 MD5 ,有点叫人看破行藏的感觉,强迫症表示非常不爽啊。。
1
WildCat 2022-02-01 08:14:02 +08:00
即使能完全混淆 JavaScript ,对方通过 Network pane 也能看出你只请求了一次 csrf ,还是不太可行吧。
感觉更好的方式是后端加 rate limit |
2
LeeReamond OP @WildCat 当然是防君子不防小人,感觉对脚本小子多一层掣肘就满足需求了
|
3
potatowish 2022-02-01 11:49:01 +08:00 via iPhone
|
4
learningman 2022-02-01 13:09:18 +08:00
建议在 webpack 混淆,每次手动换有点傻。。。
|
5
Austaras 2022-02-01 14:49:25 +08:00
一般来说过一遍 terser 就够了,没必要特意做混淆
|
6
kenvix 2022-02-01 20:28:49 +08:00
你是怎么生成 Token 的?每次一个 token 后端怎么会有压力?将 Token 存储下来了?
|