如果我的所有行为都是由客户端运行的JavaScript管理的,那么我没有看到黑盒代码的方式,我可能不希望全世界看到(例如有关硬件设备插入的内部详细信息) )。有没有办法保存某些项目不被right-click -> inspect element曝光?
通常,webapp的专有部分是在服务器端处理的(其中可能还有更强的计算能力)。我在chromeapp上写的所有东西都开放供全世界操纵吗?
答案 0 :(得分:1)
没有办法阻止某人摆弄部署到客户端的任何应用程序,尤其是JavaScript应用程序。这也适用于Chrome应用。
答案 1 :(得分:0)
对于代码:你能做的最好的事情就是uglify并破坏它。这使得反编译和复制/粘贴变得更加困难。 https://github.com/mishoo/UglifyJS
对于数据:(例如密码,私钥),您有几种可能的攻击者:
1)如果具有超级用户权限的用户正在攻击您的应用,只要有足够的时间和专业知识,他们就会获胜。最好的防御是限制表面积"他们可以攻击。加密内存中的私有数据,并在完成未加密版本后解除分配/垃圾收集。 Javascript在帮助你时不会很棒。
2)如果恶意进程攻击你的应用程序,那么你的操作系统就像你的操作系统一样安全。如果恶意软件是root用户,则它与1)相同。同样,最好的选择是限制表面积。
也就是说,像密码管理器这样的浏览器扩展程序会一直存储安全数据,所以这并不是闻所未闻。
您可能会对这些链接感兴趣: