V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
JCZ2MkKb5S8ZX9pq
V2EX  ›  程序员

小程序前端代码是加密的嘛?

  •  
  •   JCZ2MkKb5S8ZX9pq · 2019-04-08 19:41:40 +08:00 · 7673 次点击
    这是一个创建于 2054 天前的主题,其中的信息可能已经有所发展或是发生改变。

    有些 json 数据直接写在小程序 js 里,会被用户看到吗?

    24 条回复    2019-04-09 16:39:50 +08:00
    dadong1992
        1
    dadong1992  
       2019-04-08 19:43:42 +08:00
    JCZ2MkKb5S8ZX9pq
        2
    JCZ2MkKb5S8ZX9pq  
    OP
       2019-04-08 19:45:23 +08:00
    @dadong1992 汗,好的吧。没试过。
    用户是在下载小程序的时候,下载所有小程序包里的文件嘛?
    小程序本身不给加密的嘛?
    我还幻想它会自己压个加密包到本地解压啥的……
    SEARCHINGFREE
        3
    SEARCHINGFREE  
       2019-04-08 19:51:04 +08:00 via iPhone
    能吗?什么方法
    JCZ2MkKb5S8ZX9pq
        4
    JCZ2MkKb5S8ZX9pq  
    OP
       2019-04-08 19:54:11 +08:00   ❤️ 1
    @SEARCHINGFREE 刚看到这个
    [只需两步获取任何微信小程序源码 - 知乎]( https://zhuanlan.zhihu.com/p/37667537)
    反编译工具,干!
    uqf0663
        5
    uqf0663  
       2019-04-08 19:55:06 +08:00
    小程序确实是有加密的,但是也能解密啊。github 上面有各种解密的实现
    JCZ2MkKb5S8ZX9pq
        6
    JCZ2MkKb5S8ZX9pq  
    OP
       2019-04-08 19:57:35 +08:00
    @uqf0663 是啊,太草了,看来还是要把重要内容都放服务器判断了。
    msg7086
        7
    msg7086  
       2019-04-08 19:59:06 +08:00
    「本地解压啥的」

    本地解压了不就能看到了?
    lhx2008
        8
    lhx2008  
       2019-04-08 20:01:31 +08:00
    混淆了的,完全解密不是很好搞,不过 json 数据拿到是妥妥的。几乎所有前端代码也都一样,可以被反混淆
    JCZ2MkKb5S8ZX9pq
        9
    JCZ2MkKb5S8ZX9pq  
    OP
       2019-04-08 20:01:47 +08:00
    @msg7086 唉,用惯 iOS 了,想想安卓应该是很容易。
    不过看那个文章,好像也就 wxapkg 一个包。
    毕竟小程序现在限制 2M 以内,随用随解也是有可能的。
    JCZ2MkKb5S8ZX9pq
        10
    JCZ2MkKb5S8ZX9pq  
    OP
       2019-04-08 20:03:10 +08:00
    @lhx2008 的确,光做 js 的 uglify,其实也意义不大。还增加不少手续。
    zdb1115
        11
    zdb1115  
       2019-04-08 23:16:48 +08:00
    4 楼的方法关注一下
    vitoaaazzz
        12
    vitoaaazzz  
       2019-04-09 00:55:46 +08:00 via iPhone
    密钥等关键数据不要放客户端。
    JCZ2MkKb5S8ZX9pq
        13
    JCZ2MkKb5S8ZX9pq  
    OP
       2019-04-09 03:53:55 +08:00   ❤️ 1
    @vitoaaazzz 唉,发请求鉴权用的密钥和盐还有算法,总归在前端嘛。
    再混淆也能被拿到,就是早晚的事儿了。
    kangzai50136
        14
    kangzai50136  
       2019-04-09 04:41:44 +08:00 via Android
    连 app 都能解密,前端就更别说了。
    luozic
        15
    luozic  
       2019-04-09 07:12:22 +08:00 via iPhone
    ida pro 听说过没?
    locoz
        16
    locoz  
       2019-04-09 10:38:34 +08:00
    所有在客户端里存放的东西都是可以被人获得的,无论你再怎么加密,只要有人针对性地搞你总会弄出来,小程序相对于 web 来说只不过是多了一层微信的打包而已,但是早就有开源项目可以解包了。
    v2chou
        17
    v2chou  
       2019-04-09 10:41:16 +08:00
    放服务器端一样能爬取接口 (哭
    HongJay
        18
    HongJay  
       2019-04-09 10:41:49 +08:00
    就是混淆了一下
    keymao
        19
    keymao  
       2019-04-09 11:07:48 +08:00
    脚本混淆过,不过也仅限于此了。 但是想看懂也得花点功夫 不值当的。
    freedomshi
        20
    freedomshi  
       2019-04-09 11:34:09 +08:00
    cranelee13
        21
    cranelee13  
       2019-04-09 11:38:15 +08:00
    随便写个脚本就能反编译获取到小程序源码,能看到 HTTP 每个字段的生成原理,安全性简直弱爆了。
    marsgt
        22
    marsgt  
       2019-04-09 12:19:12 +08:00
    前端的东西,就是公开的,加密混淆无非是增大破解成本而已,换句话说就是并不可靠。
    daodao116
        23
    daodao116  
       2019-04-09 14:47:27 +08:00
    尽量别用前端了,即使前端加密,最好也要用动态密钥,不然破译都是时间问题。
    hoyixi
        24
    hoyixi  
       2019-04-09 16:39:50 +08:00
    前端代码,要想用户看到页面,哪个不得加载到客户端,管你是浏览器,还是 webview
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5419 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 06:44 · PVG 14:44 · LAX 22:44 · JFK 01:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.