Rah*_*han 8 javascript security android facebook react-native
我反向设计我的反应本机发布签名的应用程序,我现在可以在资源目录中看到索引包中的所有js代码,它只是模糊不加密.我不希望看到我的代码.我反向设计了一个在play store中的应用程序,它由react-native组成但我看不到js包.那么有可能使其安全吗?如果是这样的话?请帮我.
据我所知,防止逆向工程的最佳方法就是混淆代码。
\n\n如果你检查这个GitHub PR你会发现有人推动将 jsbundle 嵌入为 base64,但正如其中一位开发人员所说:
\n\n\n\n\n我非常反对这一点,因为它不会对代码进行任何加密——加密!=编码——而且“客户端秘密”通常是一个矛盾的说法。错误的安全感通常不好。
\n\n如果您对网站的工作方式感到满意(将 JS/WASM 发送到客户端,在服务器上保密),RN 在重要方面是相同的。
\n
随后 PR 的作者表示:
\n\n\n\n\n似乎不是一个很好的解决方案,但仍然非常容易破解(甚至现在已经记录了如何;))
\n
如果您愿意,可以在此处阅读有关在 RN 项目中加密 JS 包的讨论。
\n\n保护部分代码的最佳选择是根本不在客户端中使用它。如果您有必须受到保护的关键代码片段,请将它们留在架构的后端部分,这实际上是确保您的代码不会被看到和复制的唯一方法。一篇文章我喜欢的
\n\n\n\n\n想象一下,您有一个独特的算法。您显然不希望逆向工程师从您的产品中窃取它。因此,您可以移动算法,使其在远程服务器上处理数据,并使用应用程序为其提供数据。
\n
您还可以检查Android 应用程序的ProGuard(另一个链接),但我不确定如何将其与 React Native 集成。但即便如此:
\n\n\n\n\nProGuard 还通过混淆类、字段和方法的名称来提供针对逆向工程的最低程度的保护。
\n
希望这可以帮助。
\n| 归档时间: |
|
| 查看次数: |
1089 次 |
| 最近记录: |