我正在构建一个 3rd 方小部件
我们在客户端页面上放置一个脚本并加载一些内容。
我面临的问题是如何保护我的小部件。作为第三方小部件,我知道没有 100% 的方法来保护它。但试图制定一个“足够好”的方法。
我想让非客户很难从他们的竞争对手网站上撕下我们的脚本并在他们的网站上使用它。
我看到的解决方案是拉验证请求域(我知道这可能是被欺骗的,不确定我是否可以防止这种情况发生?)
我查看了其他小部件,如 olark 和 olapic,它们在其脚本中使用每个客户端的唯一 ID,但看不出这有多大帮助。
保护第三方小部件的最佳做法是什么?
确保租户的第 3 方客户端访问您的 Javascript 会带来一系列独特的挑战。此解决方案中的大部分困难源于这样一个事实,即身份验证机制必须存在于租户 Web 内容中并从其客户端浏览器提供。由于事务的扩展性,标准的客户端<>服务器身份验证机制(例如会话、cookie、自定义标头、引用者和 IP 地址限制)不能很好地适用。
Bill Patrianakos 的这篇文章通过使用动态密钥请求提供了一个解决方案,该请求向租户的客户端提供了访问令牌。
Patrianakos 提供了一些关于第三方租户关系的有用信息,并在他的文章中讨论了该模型的一些局限性。
由于要求客户端浏览器在运行时解释代码,因此很难用 Javascript 保护您的代码。但是,可以使用Google Closure Compiler混淆您的 Javascript 。编译器的高级优化功能提供了低级引用重命名,还提供了更紧凑的代码来交付您的小部件。
要使用高级优化编译您的 Javascript,请使用以下命令行:
java -jar compiler.jar --compilation_level ADVANCED_OPTIMIZATIONS \
--js myWidget.js --js_output_file myWidget.min.js
有一些重要的警告。 本文介绍了代码中要避免的一些事情,以确保代码能够正常运行。我还会推荐一个好的qunit测试框架,以确保您的小部件能够正常运行。