为了加大JS的阅读难度和调试难度,字符串拼接构成可执行的JS方法(document,avigator,window)是比较常见的策略。比如常用的全局搜索变量名在这种情况下就会失效,同时很多新手会觉得很难而放弃爬取(眼睛都会看花)。
下面简单看看老朋友之家的反爬:
1.自定义字体(破解思路可以看看我前面的文章)。ttf之类的文件本质就是矢量图,矢量图的形状让我们人眼识别出某个字的字形,从而达到反爬的效果。解决办法:一笔一划自有其规则,抽象出规则即可;懂算法的可以用K近邻算法解决.其实本质就是字形看起来差不多。
2.js混淆。每一个段落都带有一段JS,执行JS渲染出合理的效果(注意是通过CSS样式渲染)。注意其中随机的变量名,只要耐心拼接就会发现最后拼接:document之类的可执行JS方法。这部分很简单,只要耐心即可。只要JS能执行,你就可以读出
散列的字符,用变量名来加大调试难度
老朋友之家PC端源码
JS渲染后的代码
随机取一段JS代码格式化后的效果
变量名拼接
每一种浏览器都会使用不同的图像处理引擎,不同的导出选项,不同的压缩等级,所以每一台电脑绘制出的图形都会有些许不同,这些图案可以被用来给用户设备分配特定编号(指纹),也就是说可以用来识别不同用户,一般情况下用户不会去更换硬件设备,所以canvas可以很好的指定当前用户的浏览器,但是当多个用户的硬件设备,浏览器一致时就特别容易产生相同的指纹,所以canvas指纹并不能完全的替代cookie作为用户的身份验证,但是可以作为辅助的验证信息。
下面是某著名安全公司的canvas指纹生成代码
某验canvas指纹代码
个人思路:
以上只是个人猜想,还未校验。
写在最后本来是用某验的fullpage.js文件来详解字符串拼接来加密内容的,但是内容比较多,就放到下一次分享。
Copyright © 2024 妖气游戏网 www.17u1u.com All Rights Reserved