从前端注入 javascript 代码

Question

我目前正在开发一个应用程序，该应用程序的所有 javascript 和 css 代码在生产中都未压缩，但使用 gzip 压缩。问题之一是最终用户可以轻松地阅读和窃取代码，这在这种情况下并不是什么大问题。我担心的第二件事是它安全吗？我的意思是前端有人可以读取代码并从前端修改或注入一些代码吗？如果是，那么请告诉我这怎么可能？我需要这个答案来说服我的老板，我们需要在生产环境中缩小代码。

Answer 1

代码缩小不是为了混淆代码，而是为了减少发送给用户的字节数。

您的缩小或纯 JavaScript 最终会落在用户的机器上，因此用户无论如何都可以更改它。

不要将缩小视为一种安全机制。

Answer 2

通常你不应该在 css 和前端 javascript 中有敏感信息，所以这不应该是一个问题。缩小的代码只是去掉了很多字符，所以最终的 javascript“库”更小。作为回报，它的加载速度更快，这增加了性能更好的应用程序。您需要告诉老板您想要缩小代码，以便应用程序运行得更快并且更“便携”，而不是因为它有助于安全性。安全性是另一个更可能与您的数据库和前端表单处理等相关的问题。

Answer 3

Gzip 压缩根本不为查看源代码的人提供任何保护，并允许在将服务器的输出发送到客户端之前对其进行压缩。您可以在 Apache 手册here 中阅读有关 Gzip 压缩的更多信息。

JS 和 CSS 也不安全，因为任何人都可以在本地机器上阅读和修改它。缩小并不是为了保证您的代码安全，而是为了减小代码的大小。