彩票走势图

所以想要构造一个Web系统中的TPM，首要问题就是需要保证输入数据安全，打造一个相对可信的前端环境。但是由于Web的开放特性，前端作为数据采集的最前线，js代码始终暴露在外，在这种情况下，防止恶意伪造请求变得非常困难，可信前端也就成了无稽之谈。

在反复对抗中，代码保护也就是通常意义上的Java代码混淆的重要性逐渐彰显出来。今天，小编就想和大家聊一聊Java混淆的问题。

为什么需要Java混淆

显而易见，是为了保护前端代码逻辑。

在Web系统发展早期，js在Web系统中承担的职责并不多，只是简单的提交表单，js文件非常简单，也不需要任何的保护。但随着js文件体积的增大，为了缩小js体积，加快http传输速度，开始出现了很多对js的压缩工具，比如uglify、compressor、clouser……它们的工作主要是：

• 合并多个js文件

• 去除js代码里面的空格和换行

• 压缩js里面的变量名

• 剔除掉注释

下图是压缩后的代码：

虽然压缩工具出发点都是为了减少js文件的体积，但是人们发现压缩替换后的代码比源代码可读性差了很多，间接起到了代码保护的作用，于是压缩js文件成为了前端发布的标配之一。

但是后来市面上主流浏览器Chrome、Firefox等都提供了js格式化的功能，能够很快的把压缩后的js美化，再加上现代浏览器强大的debug功能，单纯压缩过的js代码对于真正怀有恶意的人，已经不能起到很好的防御工作，出现了"防君子不防小人"的尴尬局面。

chrome开发者工具格式化之后的代码：

而在Web应用越来越丰富的今天，伴随着浏览器性能和网速的提高，js承载了更多的工作，不少后端逻辑都在向前端转移，与此同时也让更多不法分子有机可乘。在Web模型中，js往往是不法分子的第一个突破口。知晓了前端逻辑，不法分子可以模拟成一个正常的用户来实施自己的恶意行为。所以，在很多登录、注册、支付、交易等页面中，关键业务和风控系统依赖的js都不希望被人轻易的破解，Java混淆应运而生。

Java混淆是不是纸老虎

这是一个老生常谈的问题。实际上，代码混淆早就不是一个新鲜的名词，在桌面软件时代，大多数软件都会进行代码混淆、加壳等手段来保护自己的代码。Java和.NET都有对应的混淆器。黑客们对这个当然也不陌生，许多病毒程序为了反查杀，也会进行高度的混淆。只不过由于js是动态脚本语言，在http中传输的就是源代码，逆向起来要比打包编译后的软件简单很多，很多人因此觉得混淆是多此一举。

.NET混淆器dotFuscator：

其实正是因为js传输的就是源代码，我们才需要进行混淆。因为暴露在外的代码没有绝对的安全，但是在对抗中，精心设计的混淆代码能够给破坏者带来不小的麻烦，也能够为防守者争取更多的时间。相对于破解来说，混淆器规则的更替成本要小得多，在高强度的攻防中，可以大大增加破解者的工作量，起到防御作用。从这个角度来讲，关键代码进行混淆是必不可少的步骤。