为了加大JS的阅读难度和调试难度,字符串拼接构成可执行的JS方法(document,avigator,window)是比较常见的策略。比如常用的全局搜索变量名在这种情况下就会失效,同时很多新手会觉得很难而放弃爬取(眼睛都会看花)。
下面简单看看老朋友之家的反爬:
1.自定义字体(破解思路可以看看我前面的文章)。ttf之类的文件本质就是矢量图,矢量图的形状让我们人眼识别出某个字的字形,从而达到反爬的效果。解决办法:一笔一划自有其规则,抽象出规则即可;懂算法的可以用K近邻算法解决.其实本质就是字形看起来差不多。
2.js混淆。每一个段落都带有一段JS,执行JS渲染出合理的效果(注意是通过CSS样式渲染)。注意其中随机的变量名,只要耐心拼接就会发现最后拼接:document之类的可执行JS方法。这部分很简单,只要耐心即可。只要JS能执行,你就可以读出
散列的字符,用变量名来加大调试难度
老朋友之家PC端源码
JS渲染后的代码
随机取一段JS代码格式化后的效果
变量名拼接
每一种浏览器都会使用不同的图像处理引擎,不同的导出选项,不同的压缩等级,所以每一台电脑绘制出的图形都会有些许不同,这些图案可以被用来给用户设备分配特定编号(指纹),也就是说可以用来识别不同用户,一般情况下用户不会去更换硬件设备,所以canvas可以很好的指定当前用户的浏览器,但是当多个用户的硬件设备,浏览器一致时就特别容易产生相同的指纹,所以canvas指纹并不能完全的替代cookie作为用户的身份验证,但是可以作为辅助的验证信息。
下面是某著名安全公司的canvas指纹生成代码
某验canvas指纹代码
个人思路:
- 请着重看看上面原理加粗的地方。
- 既然canvas指纹是收集用户机器设备的一些细节,那就证明了即使是相同型号的机器指纹极大可能是不一样的,不然同工厂的相同机器将会出现大量的相同指纹
- 即安全公司并没有可能把市面上所有的设备指纹收集,他们只能通过这个指纹来判断两个指纹是否一致,是否为恶意用户
- 即随便伪造他也不知道是否是真实的设备。
以上只是个人猜想,还未校验。
写在最后本来是用某验的fullpage.js文件来详解字符串拼接来加密内容的,但是内容比较多,就放到下一次分享。
