我正在构建一个 3rd 方小部件
我们在客户端页面上放置一个脚本并加载一些内容。
我面临的问题是如何保护我的小部件。作为第三方小部件,我知道没有 100% 的方法来保护它。但试图找出一个“足够好”的方法。
我想让非客户很难将我们的脚本从他们的竞争对手网站上撕下来并在他们的网站上使用。
我看到的解决方案是拉验证请求域(我知道这可能是被欺骗的,不确定我是否可以防止这种情况发生?)
我查看了 olark 和 olapic 等其他小部件,它们在其脚本中使用每个客户端的唯一 ID,但看不出这有多大帮助。
保护第三方小部件的最佳做法是什么?
【问题讨论】:
标签: javascript widget
确保租户的第 3 方客户端访问您的 Javascript 带来了一系列独特的挑战。此解决方案中的大部分困难源于这样一个事实,即身份验证机制必须存在于租户 Web 内容中并从其客户端浏览器提供。由于事务的扩展性,标准客户端服务器身份验证机制(例如会话、cookie、自定义标头、引用者和 IP 地址限制)不能很好地适用。
This article by Bill Patrianakos 提供了一个解决方案,它使用动态密钥请求向租户的客户端提供访问令牌。
Patrianakos 提供了一些关于第三方租户关系的有用信息,并在他的文章中讨论了该模型的一些局限性。
在 Javascript 中保护您的代码很困难,因为要求客户端浏览器在运行时解释代码。但是,可以使用 Google Closure Compiler 混淆您的 Javascript。编译器的advanced optimization 功能提供低级引用重命名,还提供更紧凑的代码来交付您的小部件。
要使用高级优化编译您的 Javascript,请使用以下命令行:
java -jar compiler.jar --compilation_level ADVANCED_OPTIMIZATIONS \
--js myWidget.js --js_output_file myWidget.min.js
有一些重要的警告。 This article 涵盖了代码中要避免的一些事情,以确保代码能够正常运行。我还推荐一个好的qunit 测试框架,以确保您的小部件能够正常运行。
【讨论】:
为了保护小部件的安全,如果您想防止伪造请求,那么您需要打开一个弹出窗口并从您的服务器打开一个完全在您控制之下的页面,并在此处确认任何操作,例如“发布推文”。
请参阅answer 了解更多详细讨论。
为了防止您的 Javascript 被盗,缩小是不够的 - 最好使用混淆器。看看例如 [JScramble],这是一个 presentation 了解它的工作原理。
【讨论】: