ฉันก็มีปัญหากับเรื่องนี้เช่นกัน และหลังจากนั้นไม่นานนักค้นหาคำตอบและดูคำตอบทั้งหมดจากทุกคนฉันคิดว่าฉันคิดวิธีแก้ปัญหานี้ได้
ดูเหมือนว่าคำตอบส่วนใหญ่ที่ฉันเจอคือการใช้ฟังก์ชั่นในการควบคุมค่าคงที่ เนื่องจากผู้ใช้หลายคนของฟอรั่ม MANY โพสต์เกี่ยวกับฟังก์ชั่นสามารถเขียนทับได้ง่ายโดยผู้ใช้ในฝั่งไคลเอ็นต์ ฉันรู้สึกทึ่งกับคำตอบของ Keith Evetts ที่ว่าค่าคงที่ไม่สามารถเข้าถึงได้จากภายนอก แต่จากฟังก์ชั่นด้านในเท่านั้น
ดังนั้นฉันจึงคิดวิธีแก้ปัญหานี้:
ใส่ทุกอย่างไว้ในฟังก์ชั่นที่ไม่ระบุชื่อดังนั้นวิธีการตัวแปรวัตถุ ฯลฯ ไม่สามารถเปลี่ยนแปลงได้โดยฝั่งไคลเอ็นต์ ซ่อนฟังก์ชั่น 'ของจริง' โดยให้ฟังก์ชั่นอื่นเรียกฟังก์ชั่น 'ของจริง' จากด้านใน ฉันยังคิดถึงการใช้ฟังก์ชั่นเพื่อตรวจสอบว่ามีการเปลี่ยนแปลงฟังก์ชั่นโดยผู้ใช้ในฝั่งไคลเอ็นต์หรือไม่ หากฟังก์ชั่นมีการเปลี่ยนแปลงให้เปลี่ยนกลับโดยใช้ตัวแปรที่ได้รับการป้องกันภายในและไม่สามารถเปลี่ยนแปลงได้
/*Tested in: IE 9.0.8; Firefox 14.0.1; Chrome 20.0.1180.60 m; Not Tested in Safari*/
(function(){
/*The two functions _define and _access are from Keith Evetts 2009 License: LGPL (SETCONST and CONST).
They're the same just as he did them, the only things I changed are the variable names and the text
of the error messages.
*/
//object literal to hold the constants
var j = {};
/*Global function _define(String h, mixed m). I named it define to mimic the way PHP 'defines' constants.
The argument 'h' is the name of the const and has to be a string, 'm' is the value of the const and has
to exist. If there is already a property with the same name in the object holder, then we throw an error.
If not, we add the property and set the value to it. This is a 'hidden' function and the user doesn't
see any of your coding call this function. You call the _makeDef() in your code and that function calls
this function. - You can change the error messages to whatever you want them to say.
*/
self._define = function(h,m) {
if (typeof h !== 'string') { throw new Error('I don\'t know what to do.'); }
if (!m) { throw new Error('I don\'t know what to do.'); }
else if ((h in j) ) { throw new Error('We have a problem!'); }
else {
j[h] = m;
return true;
}
};
/*Global function _makeDef(String t, mixed y). I named it makeDef because we 'make the define' with this
function. The argument 't' is the name of the const and doesn't need to be all caps because I set it
to upper case within the function, 'y' is the value of the value of the const and has to exist. I
make different variables to make it harder for a user to figure out whats going on. We then call the
_define function with the two new variables. You call this function in your code to set the constant.
You can change the error message to whatever you want it to say.
*/
self._makeDef = function(t, y) {
if(!y) { throw new Error('I don\'t know what to do.'); return false; }
q = t.toUpperCase();
w = y;
_define(q, w);
};
/*Global function _getDef(String s). I named it getDef because we 'get the define' with this function. The
argument 's' is the name of the const and doesn't need to be all capse because I set it to upper case
within the function. I make a different variable to make it harder for a user to figure out whats going
on. The function returns the _access function call. I pass the new variable and the original string
along to the _access function. I do this because if a user is trying to get the value of something, if
there is an error the argument doesn't get displayed with upper case in the error message. You call this
function in your code to get the constant.
*/
self._getDef = function(s) {
z = s.toUpperCase();
return _access(z, s);
};
/*Global function _access(String g, String f). I named it access because we 'access' the constant through
this function. The argument 'g' is the name of the const and its all upper case, 'f' is also the name
of the const, but its the original string that was passed to the _getDef() function. If there is an
error, the original string, 'f', is displayed. This makes it harder for a user to figure out how the
constants are being stored. If there is a property with the same name in the object holder, we return
the constant value. If not, we check if the 'f' variable exists, if not, set it to the value of 'g' and
throw an error. This is a 'hidden' function and the user doesn't see any of your coding call this
function. You call the _getDef() function in your code and that function calls this function.
You can change the error messages to whatever you want them to say.
*/
self._access = function(g, f) {
if (typeof g !== 'string') { throw new Error('I don\'t know what to do.'); }
if ( g in j ) { return j[g]; }
else { if(!f) { f = g; } throw new Error('I don\'t know what to do. I have no idea what \''+f+'\' is.'); }
};
/*The four variables below are private and cannot be accessed from the outside script except for the
functions inside this anonymous function. These variables are strings of the four above functions and
will be used by the all-dreaded eval() function to set them back to their original if any of them should
be changed by a user trying to hack your code.
*/
var _define_func_string = "function(h,m) {"+" if (typeof h !== 'string') { throw new Error('I don\\'t know what to do.'); }"+" if (!m) { throw new Error('I don\\'t know what to do.'); }"+" else if ((h in j) ) { throw new Error('We have a problem!'); }"+" else {"+" j[h] = m;"+" return true;"+" }"+" }";
var _makeDef_func_string = "function(t, y) {"+" if(!y) { throw new Error('I don\\'t know what to do.'); return false; }"+" q = t.toUpperCase();"+" w = y;"+" _define(q, w);"+" }";
var _getDef_func_string = "function(s) {"+" z = s.toUpperCase();"+" return _access(z, s);"+" }";
var _access_func_string = "function(g, f) {"+" if (typeof g !== 'string') { throw new Error('I don\\'t know what to do.'); }"+" if ( g in j ) { return j[g]; }"+" else { if(!f) { f = g; } throw new Error('I don\\'t know what to do. I have no idea what \\''+f+'\\' is.'); }"+" }";
/*Global function _doFunctionCheck(String u). I named it doFunctionCheck because we're 'checking the functions'
The argument 'u' is the name of any of the four above function names you want to check. This function will
check if a specific line of code is inside a given function. If it is, then we do nothing, if not, then
we use the eval() function to set the function back to its original coding using the function string
variables above. This function will also throw an error depending upon the doError variable being set to true
This is a 'hidden' function and the user doesn't see any of your coding call this function. You call the
doCodeCheck() function and that function calls this function. - You can change the error messages to
whatever you want them to say.
*/
self._doFunctionCheck = function(u) {
var errMsg = 'We have a BIG problem! You\'ve changed my code.';
var doError = true;
d = u;
switch(d.toLowerCase())
{
case "_getdef":
if(_getDef.toString().indexOf("z = s.toUpperCase();") != -1) { /*do nothing*/ }
else { eval("_getDef = "+_getDef_func_string); if(doError === true) { throw new Error(errMsg); } }
break;
case "_makedef":
if(_makeDef.toString().indexOf("q = t.toUpperCase();") != -1) { /*do nothing*/ }
else { eval("_makeDef = "+_makeDef_func_string); if(doError === true) { throw new Error(errMsg); } }
break;
case "_define":
if(_define.toString().indexOf("else if((h in j) ) {") != -1) { /*do nothing*/ }
else { eval("_define = "+_define_func_string); if(doError === true) { throw new Error(errMsg); } }
break;
case "_access":
if(_access.toString().indexOf("else { if(!f) { f = g; }") != -1) { /*do nothing*/ }
else { eval("_access = "+_access_func_string); if(doError === true) { throw new Error(errMsg); } }
break;
default:
if(doError === true) { throw new Error('I don\'t know what to do.'); }
}
};
/*Global function _doCodeCheck(String v). I named it doCodeCheck because we're 'doing a code check'. The argument
'v' is the name of one of the first four functions in this script that you want to check. I make a different
variable to make it harder for a user to figure out whats going on. You call this function in your code to check
if any of the functions has been changed by the user.
*/
self._doCodeCheck = function(v) {
l = v;
_doFunctionCheck(l);
};
}())
ดูเหมือนว่าการรักษาความปลอดภัยเป็นปัญหาอย่างแท้จริงและไม่มีทางที่จะ "ซ่อน" คุณตั้งโปรแกรมจากฝั่งไคลเอ็นต์ ความคิดที่ดีสำหรับฉันคือการบีบอัดรหัสของคุณเพื่อให้มันยากสำหรับทุกคนรวมถึงคุณโปรแกรมเมอร์ที่จะอ่านและทำความเข้าใจ มีเว็บไซต์ที่คุณสามารถไปที่คือhttp://javascriptcompressor.com/ (นี่ไม่ใช่เว็บไซต์ของฉันไม่ต้องกังวลฉันไม่ได้โฆษณา) นี่เป็นเว็บไซต์ที่จะช่วยให้คุณบีบอัดและทำให้รหัส Javascript แย่ลงได้ฟรี
- คัดลอกรหัสทั้งหมดในสคริปต์ด้านบนและวางลงใน textarea ด้านบนในหน้า javascriptcompressor.com
- เลือกช่องทำเครื่องหมายการเข้ารหัส Base62 เลือกช่องทำเครื่องหมายย่อตัวแปร
- กดปุ่มบีบอัด
- วางและบันทึกทั้งหมดในไฟล์. js และเพิ่มลงในหน้าของคุณในส่วนหัวของหน้า
Chrome
อนุญาตให้คุณใช้คำสำคัญconst
เพื่อใช้ค่าคงที่const ASDF = "asdf"
เช่น อย่างไรก็ตามเนื่องจากconst
ไม่รองรับเบราว์เซอร์หลายตัวฉันจึงมักจะvar
ประกาศด้วย