我正在构建第三方小部件
我面临的问题是如何保护我的小部件.作为一个第三方小部件我知道没有100%的方法来保护它.但试图找出一个“足够好”的方法.
我想让非客户很难将我们的脚本从他们的竞争对手网站上删除并在他们的网站上使用它.
我看到的解决方案是拉验证请求域(我知道这可能是欺骗,不确定我是否可以防范这个?)
我看了一下像olark和olapic这样的其他小部件,它们在脚本中使用每个客户端的唯一id,但是看不出它有多大帮助.
保护第三方小部件的最佳做法是什么?
解决方法
保护租户的客户端访问权限
保护租户的第三方客户端访问您的Javascript带来了一系列独特的挑战.此解决方案中的大多数困难源于这样的事实:身份验证机制必须存在于租户Web内容中并从其客户端浏览器传递.由于交易的扩展性质,诸如会话,cookie,自定义报头,引用和IP地址限制之类的标准客户端<>服务器认证机制不适用.
Bill Patrianakos的This article通过使用动态密钥请求提供解决方案,该请求为租户的客户端提供访问令牌.
Patrianakos提供了一些关于第三方租户关系的好信息,并在他的文章中讨论了该模型的一些局限性.
保护Javascript代码
由于要求客户端浏览器在运行时解释代码,因此难以在Javascript中保护代码.但是,可以使用Google Closure Compiler来混淆您的Javascript.编译器的advanced optimization功能提供了低级引用重命名,并且还提供了更紧凑的代码来传递窗口小部件.
要使用高级优化编译Javascript,请使用以下命令行:
java -jar compiler.jar --compilation_level ADVANCED_OPTIMIZATIONS \ --js myWidget.js --js_output_file myWidget.min.js
有一些重要的警告. This article介绍了代码中要避免的一些事项,以确保代码能够正常运行.我还建议使用一个好的qunit测试框架,以确保您的小部件能够正常运行.
