› Closure: The Definitive Guide
如题,非常业余前端工程师,最近突然想混淆一下前端代码。
一个需求场景是,比如进行 csrf 校验的时候,虽然每个 ID 的唯一 token 是由后端生成的,理论上我倒是完全不担心安全问题。但是为了减小后端压力,降低请求次数,一般每个账号绑定 token 只有前端框架刚加载的时候请求一次,后面前端繁杂的 api 各自的 token 都是基于这个 token 再次由前端二次生成的。
感觉不混淆的话,代码明晃晃放在那里,别人 F12 一看好家伙你就加了个 MD5 ,有点叫人看破行藏的感觉,强迫症表示非常不爽啊。。
 |
1
WildCat Feb 1, 2022
即使能完全混淆 JavaScript ,对方通过 Network pane 也能看出你只请求了一次 csrf ,还是不太可行吧。
感觉更好的方式是后端加 rate limit |
 |
2
LeeReamond OP @WildCat 当然是防君子不防小人,感觉对脚本小子多一层掣肘就满足需求了
|
 |
3
potatowish Feb 1, 2022 via iPhone
|
 |
4
learningman Feb 1, 2022
建议在 webpack 混淆,每次手动换有点傻。。。
|
 |
5
Austaras Feb 1, 2022
一般来说过一遍 terser 就够了,没必要特意做混淆
|
 |
6
kenvix Feb 1, 2022
你是怎么生成 Token 的?每次一个 token 后端怎么会有压力?将 Token 存储下来了?
|
Select Language