JavaScript: Скриваме скрипта от любопитни очи. Такъв пример Как да видите изходния код на страницата за отстраняване на грешки в скрипта
JavaScript: Скрийте скрипта от любопитни очи
- Дървена стая *
Искали ли сте някога да скриете от непознати на страницата си скрипт, който внедрява нереално красив външен вид на меню или изпълнява други действия, които не бихте искали да виждате скоро на всеки втори сайт?
Ако отговорът е да, тогава методът, описан в тази статия, ще ви бъде полезен заедно с обфускирането на кода. В същото време веднага ще направя резервация, че методът не е 100%, но може да предпази от повечето непрофесионалисти и някои професионалисти.
теория
Да кажем, че имаме страница nojs.php със скрипт secret.js върху нея, който трябва да бъде скрит. Браузърът и потребителят могат да получат скрипта от сървъра по следните начини:- Зареждане на скрипт директно поставен на страницата или зареден с помощта на DOM;
- Преглед на скрипта в прозореца Изходен код на страницата;
- Записване на страница с всички файлове на твърдия диск;
- Въвеждане на директен URL адрес в адресната лента.
Във втория и третия случай той не се предава от всички браузъри (Chrome, FireFox издават предварително заредения скрипт от кеша; Opera, IE изтеглят скрипта отново, но без да изпращат референт).
В четвъртия случай референтът не се предава от нито един от четирите браузъра.
Ако издадем JavaScript динамично с проверка за наличието на референтния хедър в заявката, тогава веднага ще се защитим от Opera и IE, но за Crome и Firefox ще трябва да измислим нещо сложно. Първо ще изтеглим един скрипт, който от своя страна ще изтегли друг скрипт, докато и двете изтегляния ще бъдат проверени за наличието на http-referer. Научно е установено, че ако динамично създадете скрипт на страницата document.createElement ("скрипт") и след това го премахнете от страницата, скриптът ще работи както обикновено, но няма да бъде запазен.
Практика
nojs.php
Тази страница има за цел да изтегли script1.phpheader("Content-Type:text/html;charset=utf-8"); ?>
След 10 секунди трябва да видите работата на скрития скрипт под формата на алергия, щракнете върху връзката след предупреждението, за да се уверите, че и събитията не са отпаднали. От тази връзка можете да видите скрития скрипт