如何利用js加密防止xss注入

简介

xss又名跨站脚本攻击，攻击者可以利用网站的xss漏洞执行一些脚本代码，达到自己的目的。以上比较出名的xss攻击事件就有hellosamy，这个作者利用了微博的xss漏洞，刷屏关注自己。

业务场景

最有效的xss还是属于存储型的，通过提交表单的形式，将自己的xss代码提交到数据库，若目标服务没有转义和屏蔽关键词，有相关的漏洞，将会在显示到页面的时候执行我们的xss代码，达到反客为主的目的。

像存储型的xss针对的主要是后端逻辑，看后端逻辑是否有转义和关键词过滤。

还有其他两种类型的xss

分别是反射性和DOM型，这两种类型的XSS攻击，都是攻击者通过分析你的前端js代码来进行XSS攻击试探调试的，这时候我们如果想要防止攻击者分析我们的代码，就需要用到js加密了，至于如何加密js，这就要交给专业的工具来做了。

如何加密JS达到保护我们前端代码的目的

目前国内js加密做的最好的就是 jsjiami.com 了。先打开这个工具站，然后如图所示默认配置加密就行了。

结语

经过加密后的JS代码可以说已经完全看不出原本的代码模样了，我研究过，加密后的执行效率完全没有影响，执行结果也一致，可以说非常好用了。这个工具站除了加密还可以一键解密一些其他不厉害的小加密算法，也可以联系客服人工解密，可以说没有不能解密的代码。