非服务端 js 因为最终要下载到客户端 / 浏览器编译执行, 所以不可避免的要把代码泄漏出去虽然压缩混淆可以让代码难以识别, 但字符串 / 全局对象都不能被压缩, 可以根据这方面入手来找寻突破口, 进而对代码进行调试这里抛砖引玉的分享一个阻止别人在浏览器调试代码的方法
目前多数浏览器都支持 debugger 断点代码, 只要打开 devtools, 代码执行到 debugger 位置时, 就会断点而如若没有打开 devtools, 则不受影响所以可以根据这个特性来尝试检测用户是否打开了 devtools, 代码如下
- [html] view plain copy print?
- function checkDebugger(){
- const d=new Date();
- debugger;
- const dur=Date.now()-d;
- if(dur<5){
- return false;
- }else{
- return true;
- }
- }
- function checkDebugger(){
- const d=new Date();
- debugger;
- const dur=Date.now()-d;
- if(dur<5){
- return false;
- }else{
- return true;
- }
- }
打开 devtools 后执行改方法, 因为会被断点, 以人的手速很难在 5ms 内点掉断点, 这里通过时间差来判断是否打开 devtools
于是可以通过递归写个无限断点的方法, 如若打开 devtools, 执行到该方法则会一直被断点
- [html] view plain copy print?
- function breakDebugger(){
- if(checkDebugger()){
- breakDebugger();
- }
- }
- function breakDebugger(){
- if(checkDebugger()){
- breakDebugger();
- }
- }
所以可以在不希望被调试的代码中, 执行这个方法就不会被执行下去, 除非对方关闭 devtools 简单实例如下
- [html] view plain copyprint?
- <!DOCTYPE html>
- <html lang="en">
- <head>
- <meta charset="UTF-8">
- <title>Title</title>
- </head>
- <body>
- 123
- <script>
- function checkDebugger(){
- const d=new Date();
- debugger;
- const dur=Date.now()-d;
- if(dur<5){
- return false;
- }else{
- return true;
- }
- }
- function breakDebugger(){
- if(checkDebugger()){
- breakDebugger();
- }
- }
- document.body.onclick=function(){
- breakDebugger();
- alert(1);
- };
- </script>
- </body>
- </html>
- <!DOCTYPE html>
- <html lang="en">
- <head>
- <meta charset="UTF-8">
- <title>Title</title>
- </head>
- <body>
- 123
- <script>
- function checkDebugger(){
- const d=new Date();
- debugger;
- const dur=Date.now()-d;
- if(dur<5){
- return false;
- }else{
- return true;
- }
- }
- function breakDebugger(){
- if(checkDebugger()){
- breakDebugger();
- }
- }
- document.body.onclick=function(){
- breakDebugger();
- alert(1);
- };
- </script>
- </body>
- </html>
自然, 对于不支持 debugger 的浏览器不会生效另外因为毕竟已经下载到了客户端, 用心想的话还是很容易被破解, 作为加大调试难度的一个坎来用吧
来源: https://juejin.im/entry/5aa375195188257a7501ea4b