混淆工具 javascript-obfuscator 使用简介

安装

npm install javascript-obfuscator -g

安装完成后，javascript-obfuscator 就是一个独立的可执行命令了。

javascript-obfuscator -v

可以查看版本号，检测安装是否成功。

使用

javascript-obfuscator a.js

上面命令表示，使用默认配置对 a.js 执行混淆，结果输出到默认文件 a-obfuscated.js。

也可以根据需求修改配置，从而调整混淆强度。

主要有以下几个重要参数

controlFlowFlattening

默认 false。设为 true，表示开启代码控制流展平，这是源代码的一种结构转换，使代码增大且变得难以理解。

controlFlowFlatteningThreshold

和 controlFlowFlattening 配合，表示代码控制流展平的概率，此设置对于大代码影响较大，大量的控制流转换会减慢代码速度并增加代码大小。controlFlowFlatteningThreshold 的值范围是从 0 到 1，如果为 0 等同于 controlFlowFlattening 为 false。

deadCodeInjection

默认 false。设为 true，表示将添加随机废代码到被混淆代码中。

该选项会显著增加代码大小（高达 200%）

deadCodeInjectionThreshold

设置废代码注入的百分比。值范围是从 0 到 1，如果为 0 等同于 deadCodeInjection 为 false。

此选项强制启用 stringArray 选项。

stringArray

删除字符串文字并将其放置在特殊数组中。例如，var m=“Hello World”中的字符串“Hello World”，将被替换为 var m=x12c456[0x1]；

stringArrayEncoding

使用 base64 或 rc4 对 stringArray 影响的所有字符串文本进行编码，并插入用于在运行时对其进行解码的特殊代码。

此选项会减慢脚本的速度。

stringArrayThreshold

此设置调整将字符串文本插入 stringArray 的概率（从 0 到 1）

示例

一个中等混淆强度的配置选项如下，它会使性能降低约 30-50%，代码体积增加约 300%。

{
  "compact": true,
  "controlFlowFlattening": true,
  "controlFlowFlatteningThreshold": 0.75,
  "deadCodeInjection": true,
  "deadCodeInjectionThreshold": 0.4,
  "debugProtection": false,
  "debugProtectionInterval": false,
  "disableConsoleOutput": true,
  "identifierNamesGenerator": "hexadecimal",
  "log": false,
  "renameGlobals": false,
  "rotateStringArray": true,
  "selfDefending": true,
  "stringArray": true,
  "stringArrayEncoding": "base64",
  "stringArrayThreshold": 0.75,
  "unicodeEscapeSequence": false
}

将上述配置选项，保存为文件 config.json，并指定输出结果到 b.js，输入

javascript-obfuscator a.js --config test.json --output b.js

上面命令表示， javascript-obfuscator 将会使用 config.json 指定的配置，对 a.js 执行混淆，结果输出到 b.js。