使用JavaScript是開(kāi)發(fā)Web頁(yè)面和移動(dòng)應(yīng)用的必備技能。然而，與 應(yīng)用程序不同，Web應(yīng)用壓縮在瀏覽器中運(yùn)行 - 一個(gè)相對(duì)較為危險(xiǎn)的環(huán)境。在這個(gè)環(huán)境中，客戶端代碼可以輕易地受到漏洞攻擊。這篇文章將重點(diǎn)介紹如何保護(hù)你的JavaScript代碼在安卓chrome瀏覽器中的安全。

首先，我們需要明確一下，任何人都可以在瀏覽器中查看你的JavaScript代碼。因此，維護(hù)好你的代碼防范被攻擊就顯得非常重要。這里提供一些具體的措施：

1. 代碼混淆

代碼混淆讓你的代碼更難讀懂并難以篡改或復(fù)制。混淆可以通過(guò)一個(gè)名為"UglifyJS"的JavaScript代碼壓縮工具實(shí)現(xiàn)，甚至可以在你的代碼編寫(xiě)過(guò)程中實(shí)時(shí)壓縮并混淆。這樣的話，即使有人竊取了你的代碼，他/她也很難讀懂它。例如：

// 未混淆的代碼
function() {
var str = "這段文本很容易被竊取";
console.log(str);
}
// 混淆后的代碼
function(){console.log("W0PLRKKHBTTR68O2P91N",!0)};

2. CSP (內(nèi)容安全策略)

內(nèi)容安全策略可以限制哪些外部資源可以被加載，防止XSS等攻擊的發(fā)生。例如，如果惡意的注入代碼從外部遠(yuǎn)程加載了一個(gè)圖片，那么CSP可以告訴瀏覽器在什么地方加載這張圖片。使用CSP可以防止這類攻擊。：

<meta http-equiv="Content-Security-Policy"
 content="default-src 'self'; img-src https://*">

3. 阻止第三方Cookie

瀏覽器的Cookie為管理用戶和會(huì)話信息提供了極大的幫助，但開(kāi)啟后第三方Cookie可以在用戶不知情的情況下進(jìn)行會(huì)話攻擊。要防止這種情況發(fā)生可以像下面這樣禁用第三方Cookie：

document.cookie="name=value; domain=domain.com; path=/; SameSite=Strict";

4. HTTPS

HTTPS是安全傳輸協(xié)議，用于加密你和服務(wù)器之間的通信。在沒(méi)有 HTTPS 的情況下，竊聽(tīng)者可以從通信中讀取凍人的敏感信息，而加密通信可以保證你的數(shù)據(jù)（如密碼）的安全。如下是啟用 HTTPS 的代碼：

https.createServer(options, function(request, response) {
// Serves HTTPS requests.
}).listen(443);

以上就是四種比較實(shí)用的 JavaScript代碼安全措施了。盡管攻擊者總是會(huì)想出新的攻擊方式，相信通過(guò)對(duì)這些方法的運(yùn)用，你已經(jīng)防范住了絕大多數(shù)安全問(wèn)題。