javascript:d=0; 复杂一些。接受你的JavaScript将被“操纵”,并在服务器端提供相关保护措施。基本上,你无法阻止人们对客户端进行调试。
您可以编写JS代码,仅在自执行函数中使用私有方法和变量。例如,以下代码不会留下任何迹象供其他人在全局命名空间中修改。
(function(){
var x = 1;
var y = 2;
var z = "A am z";
var clickHandler = function() {
alert('You clicked the body');
};
document.getElementsByTagName('body')[0].addEventListener('click',clickHandler,true);
}());
document、getElementsByTagName和addEventListener),因此,如果您确实很谨慎,可以在页面加载之前将它们复制到函数作用域中,这样用户就无法覆盖它们。使用addEventListener是一个好主意,因为它不像事件body.onclick那样可以从函数外部被删除或覆盖。})();。我认为。 - stagas}()) 和 })() 的区别吗?我知道自执行函数,但我不明白你刚才做了什么。 - stagas(function(document, window, undefined){ [...]})(document,window); - Aaron Butacov任何真正想篡改客户端的用户都能够这么做。代码在他的机器上。即使你混淆了客户端代码,也有工具可以帮助某人在一秒钟内反混淆出代码。
然而,你需要考虑的是使网站在服务器上安全,并对其他用户也同样安全。 这至少意味着:
在服务器上检查/验证每个请求和输入参数,以便用户无法通过触发您编写的“被黑客攻击”的客户端函数来更改任何服务器端数据。
检查所有从用户输入源生成的输出到屏幕的数据。其他用户可能已经插入了危险的客户端脚本,这些脚本对您的网站尤其危险,对您网站上的其他用户尤其危险。(如果您使用 .net,则可以查看 AntiXSS 库)
混淆和压缩应该使得黑客更难攻击,但我同意spender的观点。