Как скрыть javascript на сервере?

Question

Алекс Меллер @daloras

JavaScript

Как скрыть javascript на сервере?

Стоит задача скрыть скрипт на сервере, то есть чтобы при открытии ссылки через браузер, к примеру site.com/js/script.js было пусто, а при подключении на сайт способом чтобы все подключалось. Так делают различные сервисы, дабы скрыть свой исходный код.

Вопрос задан более трёх лет назад
5056 просмотров

9 комментариев

Подписаться 2 Оценить 9 комментариев

Пригласить эксперта

Ответы на вопрос 7

3 комментария

Алексей Уколов @alexey-m-ukolov Куратор тега JavaScript

Скорее всего, там просто referrer проверяется или какой-то кастомный заголовок.

Написано более трёх лет назад
HoHsi @HoHsi

Алексей Уколов: дык, это не скрытие. Банальным курлом, можно все подделать.

Написано более трёх лет назад
Алексей Уколов @alexey-m-ukolov Куратор тега JavaScript

Я и не говорю, что это скрытие. Но от недоученного веб-разработчика или просто постороннего человека такая проверка спасет. Но посторонний человек даже пытаться не станет, а недоучка на Тостер придет спрашивать "как скачать скрипт" :)

Написано более трёх лет назад

6 комментариев

Андрей Мохов @mokhovcom

качаю html код страницы, и выкачиваю спокойно JS скрипт

Написано более трёх лет назад
Alex @streetflush

Андрей Мохов: Исчо раз читаем описание: "при открытии ссылки через браузер". Если человек будет скачивать без JS html, можно подключать этот JS другим JSом =). Типа нет у тебя JS не узнаешь ссылки, есть JS ссылка сама автоматом выполнится. Замечу что имя надо генерить при запросе именно HTMl.

Написано более трёх лет назад
Андрей Мохов @mokhovcom

streetflush: голову включите наконец, жмыкаю F12 и смотрю JS файлы, которые были вытянуты, сохраняю локально

Написано более трёх лет назад
Alex @streetflush

Андрей Мохов: читать научитесь наконец "при открытии ссылки через браузер, к примеру site.com/js/script.js"

Написано более трёх лет назад
Андрей Мохов @mokhovcom

streetflush: вы действительно не понимаете как работают сайты? Никак вы на стороне сервера не узнаете пользователь открыл прямую ссылку на JS-скрипт или это сделал его же браузер по запросу html кода или другого скрипта.
Если есть желание, то контент JS файла получить можно в 100% случаев

Написано более трёх лет назад
Alex @streetflush

Андрей Мохов: Ежу понятно, что если его нельзя получить, то результата работы его не будет.
Вопрос как стоял? Чтобы на странице скрипт был, а выкусив ссылку на него и открыв её, файла не было.
Я предлагаю давать открывать ссылку со скриптом 1 раз.

При желании можно встроить в JS тайм бомбу на час например, после которого скрипт не работает.
Хорошенько обфусцировать. (а если еще клиентскую реализацию найти https://www.npmjs.com/package/brainfuck-javascript вообще круто было бы).
Человек захотевщий данных скрипт себе, постарается его сначала через консоль спереть, затем через час у него все сломается и он решит подключить напрямую с сайта JS, а ссылка постоянно динамическая...

Взломать можно все... вопрос в том, что дешевле, сидеть и разбираться почему скрипт через час после того как его уперли перестал работать и почему его не подключить напрямую или написать самому данный скрипт.

Написано более трёх лет назад

Комментировать

2 комментария

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

JavaScript

+3 ещё

Простой
При установке vuejs выходят ошибки, как исправить?
- 1 подписчик
- час назад
- 16 просмотров
0

ответов
JavaScript

+1 ещё

Простой
Как задать stroke-dasharray/offset — для svg в GSAP?
- 1 подписчик
- 2 часа назад
- 8 просмотров
0

ответов
JavaScript

Средний
Где найти маску для телефона работающую корректно?
- 1 подписчик
- 4 часа назад
- 57 просмотров
3

ответа
JavaScript

Простой
Как разэкранировать строку js?
- 1 подписчик
- 4 часа назад
- 58 просмотров
1

ответ
JavaScript

+1 ещё

Простой
Получение координат графика в Canvas?
- 1 подписчик
- 7 часов назад
- 24 просмотра
1

ответ
JavaScript

+2 ещё

Средний
Какие инструменты для анализа React JS кода использовать?
- 1 подписчик
- 8 часов назад
- 56 просмотров
0

ответов
JavaScript

Простой
Как создать динамическую переменную?
- 1 подписчик
- 8 часов назад
- 61 просмотр
1

ответ
JavaScript

+1 ещё

Простой
Почему не запрашивает разрешение на уведомление pwa-push- ios?
- 1 подписчик
- 11 часов назад
- 36 просмотров
0

ответов
JavaScript

+4 ещё

Средний
Как правильно задеплоить сайт на firebase hosting в бесплатном плане?
- 1 подписчик
- 11 часов назад
- 32 просмотра
1

ответ
JavaScript

Простой
Async, js модули, в браузере как правильно сделать синхронизацию?
- 1 подписчик
- вчера
- 159 просмотров
1

ответ
Показать ещё Загружается…

JavaScript разработчик

SummerWeb • Ярославль

от 100 000 до 140 000 ₽

JavaScript разработчик

вАйТи

от 5 000 до 25 000 ₽

JavaScript Developer (backend / fullstack)

Brightdata • Тель-Авив

от 5 500 до 6 500 $

Необходимо реализовать на Ассемблере моделирование команд

07 мая 2024, в 20:58

1000 руб./за проект

Код для color picker с градиентом

07 мая 2024, в 20:44

500 руб./за проект

Разработка iOS Приложения

07 мая 2024, в 20:21

900000 руб./за проект

А смысл? Если код как-то попадает в браузер, то любой более-менее любопытный его может увидеть.
.htaccess в папку со скриптами и запретить доступ
Алексей Ярков: пусть лучше всем, а то своруют ненароком
HoHsi: ага, а там пароли от сервера NASA прям в код вшиты.
Стоит задача скрыть скрипт на сервере

Постановка подобных задач - однозначный признак грубой архитектурной ошибки.
Алексей Ярков: шутки, шутками, а один товарищ формировал SQL прямо в JS. Как вы понимаете, сейчас этого сайта уже нет. И товарища у меня больше нет...
HoHsi: жесть... Он мой кумир теперь :-)

Answer 1 · 2015-12-22 09:37:59

Это невозможно. Если скрипт встраивается в сайт, т.е. фронт энд, а не является бэк-энд NodeJS скриптом, его нельзя скрыть.

Если же упороться, и закрыть доступ к этому файлу, его не получат и пользователи, которые просто перешли на страницу. Это все равно, что заварить дверь от воров, и удивляться, а почему же не заходят обычные покупатели.

Единственный способом мало-мальски скрыть исходные тексты, это обфускация и минификация.
Все.

P.S. Дайте ссылку на пример где так сделано, аж любопытно.

Answer 2 · 2015-12-22 11:20:25

Ну как вариант, на сервере сделать табличку, в которую генерируется рандомное имя файла и в страницу скрипт с этим именем вставлять динамически.
Сервер пусть проверяет, если по такому имени уже спрашивали файл, отдавать шиш.

Answer 3 · 2015-12-22 09:43:32

невозможно, максимум что вы можете сделать, это ограничить доступ к нему по логин/паролю, но если предполагается подключение данного скрипта на стороне клиента, то он 100% сможет его скачать и без основной страницы

Answer 4 · 2015-12-22 09:53:20

вынести скрипты за пределы htdocs, отдавать скрипты каким хотите server-side скриптом после каких хочешь проверок.

Answer 5 · 2015-12-22 16:14:18

Это можно сделать. Для этого нужно генерировать скрипт, а не отдавать статику.

Например, при обращении к урлу site.com/js/script.js на самом деле происходит обращение к серверу, который делает необходимые проверки. Далее в случае успешной валидации в ответ подсовывается тело скрипта, иначе пустой ответ.

Но тело скрипта всё равно возможно получить на клиенте. Достаточно загрузить страницу и через консоль разработчика посмотреть состав загруженного файла

Answer 6 · 2015-12-23 07:01:49

Пума Тайланд @opium

Просто люблю качественно работать

Сервисы делают это не для того чтобы скрыть код, это называется защита по реферу.

Ответ написан более трёх лет назад

Комментировать

Answer 7 · 2016-03-24 17:49:28

Неплохое решение Jscrambler. Помимо обфускации и минификации, у них еще есть такие штуки как самозащита (код сам ломается если его стараються взломать). И разные ловушки в коде, можете сделать так, допустим, что бы ваш код исполнялся только на определенных доменах и тд.

Как скрыть javascript на сервере?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт