认识达内从这里开始

随着互联网的不断发展，越来越多的企业都在关注互联网网络安全等问题，而本文我们就通过案例分析来简单了解一下，前端代码安全防护方法分享。

一、攻击者角度

[Web逆向]数某风控JS算法分析常规网页加密调式

CrackApp|某H5App反调试对抗反调式APP内Webview

Puppeteer融入调试流程，调试体验爽翻了!可模拟用户实际点击流程，进行流程化操作，此类方式，比较难以区分

Node.js安全佳实践常见的NodeJS官方发布的被攻击类型。

通过几行JS就可以读取电脑上的所有数据?旁路攻击，通过内存响应速度获取用户密码信息

QwikJS框架将JS代码的拆分从常见的「编译时」(比如webpack分块)、「运行时」(比如dynamicimport)，变为「交互时」。只有用户操作时，才会进行注入加载。

非代码泄漏类，常规类型Web攻击，基于代码破解后

XSS攻击：跨站脚本攻击(Cross-SiteScripting)，攻击目标是为了盗取存储在客户端的cookie或者其他网站用于识别客户端身份的敏感信息。一旦获取到合法用户的信息后，攻击者甚至可以假冒合法用户与网站进行交互。

CSRF(Cross-siterequestforgery)跨站请求伪造：攻击者诱导受害者进入三方网站，在三方网站中，向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证，绕过后台的用户验证，达到冒充用户对被攻击的网站执行某项操作的目的。

网络劫持攻击，主要是通过一些代理服务器，或者wifi等有中间件的网络请求，进行劫持，不法分子通过这种方式获取到用户的信息。

控制台注入代码，不法分子通过各种提示诱骗用户在控制台做一些操作，从而获取用户信息。

钓鱼攻击，

电子邮件钓鱼：群发邮件，欺骗用户点击恶意的链接或附件，获取有价值的信息

网站钓鱼：在网站上伪造一个网站，通常是模仿合法的某个网站。为了欺骗用户点击这个网站还会采取些辅助技术，比如钓鱼邮件、短信、电话

防钓鱼

SPF记录，SPF是为了防范垃圾邮件而提出来的一种DNS记录类型，它是一种TXT类型的记录，它用于登记某个域名拥有的用来外发邮件的所有IP地址。

SafeBrowsingAPI，谷歌的一个随时可以通过互联网访问的API,允许允许浏览器在渲染之前检测URL的正确性。

DDOS：分布式拒绝服务攻击(DistributedDenialofService)，简单说就是发送大量请求是使服务器瘫痪

SQL注入攻击，通过对web连接的数据库发送恶意的SQL语句而产生的攻击，从而产生安全隐患和对网站的威胁，可以造成逃过验证或者私密信息泄露等危害

点击劫持，点击劫持是指在一个Web页面中隐藏了一个透明的iframe，用外层假页面诱导用户点击，实际上是在隐藏的frame上触发了点击事件进行一些用户不知情的操作。

AI介入解释代码，加速代码反编译进程

二、防御者角度

JS代码混淆

应对：普通开发者或者不懂编程的普通用户。实例：大部分网页

进行代码混淆/加密，减少语义化理解。

通过代码调试，查找特定DOM结点，反复断点调试，即可了解相关执行逻辑

JS虚拟机

应对：专业编程开发者。实例：暂无

通过AST转换代码为二进制码，再通过虚拟机运行二进制码。

会导致网页执行性能变差，执行加载更多JS文件

无法进行断点提示，但是会把解密流程对外暴露。

直接调用JS虚拟机，执行小化JS片段，从而了解整个虚拟机的加密规则。

强制下载APP通过Webview打开

应对：中高级编程开发者。实例如：拼多多等

H5代码只是对外展示数据，关键内容提示用户下载APP，增加调试难度

用户不愿意下载APP，就会导致用户流失。

接口校验/字段混淆

应对：Python爬虫类，实例如：淘宝、好词好句网等等

通过接口生成混淆模版，多字段随机发送，配置相关JS模版框架。

接口内容传输base64/aes加解密处理，但是会留下解密JS在客户端，依旧能够被破解。

Token强制校验，发送三次错误，直接不在返回数据，需要用户强制登录，容易导致用户流失。

自定义框架

应对：Python爬虫类，中高级编程开发者。实例如：亚马逊/淘宝。【还需要继续挖掘】

爬虫无法一时间获取相关按钮的API请求接口，需要等待JS返回。

客户端存在大量无关数据，导致dom结点整体看起来无规律

JS通过接口请求返回，配合相关的Token参数，可以达到随机性下发

【免责声明】：本内容转载于网络，转载目的在于传递信息。文章内容为作者个人意见，本平台对文中陈述、观点保持中立，不对所包含内容的准确性、可靠性与完整性提供形式地保证。请读者仅作参考。更多内容请加抖音太原达内IT培训学习了解。