【安全策略】前端 JS 安全对抗&；浏览器调试方法，2024最新网络安全高频精选面试题讲解_js 前端 调试

• jsbeautifier：jsbeautifier是一个为前端开发人员制作的Chrome扩展，能够直接查看经过压缩的Javascript代码。
• UnuglifyJS：压缩工具uglify对应的解混淆工具。
• jspacker：用PHP编写的压缩工具，可以混淆代码保护知识产权，产生的代码兼容IE、FireFox等常用浏览器，国内大部分在线工具网站都采用这种算法压缩。

三、前端安全对抗

---

3.1 前端调试手法

3.1.1 Elements

Elements 面板会显示目前网页中的 DOM、CSS 状态，且可以修改页面上的 DOM 和 CSS，即时看到结果，省去了在编辑器修改、储存、浏览器查看结果的流程。

有时候一些dom节点会嵌套很深，导致我们很难利用Element面板html代码来找到对应的节点。inspect(dom元素)可以让我们快速跳转到对应的dom节点的html代码上。

3.1.2 Console

Console对象提供了浏览器控制台调试的接口，Console是一个对象，上面有很多方便的方法。

• console.log( )：最常用的语句，可以将变量输出到浏览器的控制台中，方便开发者调用JS代码
• console.table( )：可用于打印obj/arr成表格
• console.trace( )：可用于debugger堆栈调试，方便查看代码的执行逻辑，看一些库的源码
• console.count( )：打印标签被执行了几次，预设值是default，可用在快速计数
• console.countReset( )：用来重置，可用在计算单次行为的触发的计数
• console.group( )/console.groupEnd( )：

为了方便一眼看到自己的log，可以用console.group自定义message group标签，还可以多层嵌套，并用console.groupEnd来关闭Group。

3.1.3 JS断点调试

JS断点调试，即在浏览器开发者工具中为JS代码添加断点，让JS执行到某一特定位置停住，方便开发者对该处代码段进行分析与逻辑处理。

Sources面板

① 普通断点（breakpoint）

给一段代码添加断点的流程是：“F12（Ctrl + Shift + I）打开开发工具”->“点击Sources菜单”->"左侧树中找到相应文件"→"点击行号列"即完成在当前行添加/删除断点操作。当断点添加完毕后，刷新页面JS执行到断点位置停住，在Sources界面会看到当前作用域中所有变量和值。

• 恢复（Resume）： 恢复按钮(第一个按钮)，继续执行，快捷键 F8，继续执行，如果没有其他的断点，那么程序就会继续执行，并且调试器不会再控制程序。
• 跨步（Step over）：运行下一条指令，但不会进入到一个函数中，快捷键 F10。
• 步入（Step into）：快捷键 F11，和“下一步（Step）”类似，但在异步函数调用情况下表现不同，步入会进入到代码中并等待异步函数执行。
• 步出（Step out）：继续执行到当前函数的末尾，快捷键 Shift+F11，继续执行代码并停止在当前函数的最后一行，当我们使用偶然地进入到一个嵌套调用，但是我们又对这个函数不感兴趣时，我们想要尽可能的继续执行到最后的时候是非常方便的。
• 下一步（Step）：运行下一条语句，快捷键 F9，一次接一次地点击此按钮，整个脚本的所有语句会被逐个执行，下一步命令会忽略异步行为。

启用/禁用所有的断点：这个按钮不会影响程序的执行。只是一个批量操作断点的开/关。

• 察看（Watch）：显示任意表达式的当前值
• 调用栈（Call Stack）：显示嵌套的调用链
• 作用域（Scope）：显示当前的变量
• Local：显示当前函数中的变量
• Global：显示全局变量

② 条件断点（Conditional breakpoint）

给断点添加条件，只有符合条件时，才会触发断点，条件断点的颜色是橙色。

③ 日志断点（logpoint）

当代码执行到这里时，会在控制台输出你的表达式，不会暂停代码执行，日志断点式粉红色。

debugger命令

通过在代码中添加"debugger;"语句，当代码执行到该语句的时候就会自动断点，之后的操作和在Sources面板添加断点调试，唯一的区别在于调试完后需要删除该语句。

在开发中偶尔会遇到异步加载html片段（包含内嵌JS代码）的情况，而这部分JS代码在Sources树中无法找到，因此无法直接在开发工具中直接添加断点，那么如果想给异步加载的脚本添加断点，此时"debugger;"就发挥作用了。

3.2 反调试手段

3.2.1 禁用开发者工具

监听是否打开开发者工具，若打开，则直接调用JavaScript的window.close( )方法关闭网页

① 监听F12按键、监听Ctrl+Shift+I（Windows系统）组合键、监听右键菜单，监听Ctrl+s禁止保存至本地，避免被Overrides。

② 监听窗口大小变化

③ 利用Console.log

3.2.2 无限debugger反调试

① constructor

② Function

3.3 破解反调试手段

3.3.1 禁用开发者工具

针对判断是否打开开发者工具的破解方式很简单，只需两步就可以搞定。

① 将开发者工具以独立窗口形式打开

② 打开开发者工具后再打开网址

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。

对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！

【完整版领取方式在文末！！】

93道网络安全面试题

内容实在太多，不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。