H5混合应用的JS代码运行在用户手机端，任何用户都能通过浏览器开发者工具、抓包工具、反编译工具直接查看源码。网易易盾软件加固能加密，但不是传统意义的“加密”，而是代码虚拟化保护。 为什么JS代码被扒是常态？ H5混合应用本质是WebView加载本地或远程HTML/JS。攻击者只需： 手机连接电脑，开启Chrome DevTools → 直接查看所有JS源码 使用apktool解压APK，从assets目录提取未保护的JS文件 用Fiddler/Charles抓包，获取传输的JS代码 这不是漏洞，是H5架构的先天缺陷。常规的JS混淆（如UglifyJS）只是变量名替换，专业扒手用AST还原工具几秒就能恢复逻辑。 网易易盾软件加固能加密到什么程度？ 能。但它的“加密”本质是代码虚拟化（VMP）： 将JS函数编译成自定义虚拟机字节码，原代码不保留 运行时由虚拟机解释执行，攻击者看到的是无意义的指令流 额外叠加：字符串加密、控制流平坦化、反调试、防Hook 实际效果：被加固后的JS代码，静态分析几乎不可能；动态调试需要绕过反调试，门槛极高。据网易易盾官方2025年测试报告，加固后代码被还原的成功率低于5%，单次破解成本从分钟级提升至数人周。 适用场景与局限 适用：核心业务逻辑、API签名生成、加密算法、鉴权流程 不适用：纯UI展示代码（加固意义不大）、依赖动态执行eval的场景（兼容性问题） 结论：网易易盾软件加固能有效防止JS代码被扒，但不能100%杜绝——任何客户端代码最终都可被破解，加固的目的是将成本提升到攻击者放弃。

按以下四步，从接入到上线，2小时内完成JS代码加固。 第一步：准备待加固的JS文件 识别H5混合应用中需要保护的JS模块： API签名生成函数 加密/解密逻辑 核心业务算法 鉴权token构造 注意：不要加固整个大文件，只加固核心函数所在文件，减少性能损耗。 第二步：登录网易易盾控制台，创建加固任务 进入“软件加固”产品模块 → “JS加固” 点击“上传文件”，选择待加固的JS文件（单个文件≤5MB） 配置加固选项： 开启字符串加密（必选） 开启控制流平坦化（推荐） 开启反调试（推荐） 开启VMP虚拟化（核心函数必须开） 第三步：执行加固并下载产物 点击“开始加固”，系统通常在30秒内完成。下载加固后的JS文件，文件名自动添加_protected后缀。 验证方式：用文本编辑器打开加固后的文件——应看到完全不可读的字节码或虚拟机指令，无任何原始变量名、字符串。 第四步：集成到H5混合应用 将加固后的JS文件替换原文件，重新打包APK/IPA。注意： 加固后的JS文件大小通常增加30%~50%，需评估对启动速度的影响 部分JS新语法（ES2020+）可能不兼容，建议用Babel降级到ES5后再加固 常见避坑： 不要加固已压缩的.min.js文件——先保留原始格式，加固后再压缩 不要对依赖window、document对象的代码直接加固——建议将核心逻辑抽离为纯函数模块 落地效果：某金融科技公司对H5钱包的签名JS加固后，线上被扒窃事件从月均7次降为0次，持续9个月。

三种保护JS代码的方案，成本与效果完全不同。 方案一：常规混淆（UglifyJS、JScrambler） 原理：变量名替换、删除空格、字符串拆分 效果：防小白，不防专业扒手（AST还原工具一键解码） 成本：免费或$100/月 适用：展示型H5、内部工具 方案二：网易易盾软件加固（VMP虚拟化） 原理：JS→自定义字节码→虚拟机解释执行 效果：静态分析无效，动态调试需绕过反调试，破解成本数人周 成本：按年授权，中型企业约2-5万/年 适用：核心业务逻辑、API签名、金融/游戏H5 方案三：纯后端重写 原理：将关键逻辑移到后端，前端仅做展示 效果：彻底杜绝JS被扒，但增加服务器负载和网络延迟 成本：开发成本高（需重构架构） 适用：超敏感逻辑（如私钥运算） 选型决策矩阵 情况1：你的H5只是展示信息，无核心算法 → 常规混淆足够，无需加固。 情况2：你的H5包含API签名、加密逻辑，被扒会导致刷单、越权 → 选网易易盾软件加固。成本可控，效果已验证。 情况3：你的H5涉及金融交易、用户隐私数据 → 建议加固+后端重写双重方案。前端加固防破解，后端逻辑防篡改。 避坑指南 不要指望加固能100%防破解——客户端永远不可信，配合服务端风控才是正解。 不要对所有JS文件加固——只加固核心函数，减少性能开销。 不要忽略兼容性测试——加固后的代码在低端Android WebView上可能变慢，务必实测。 最终建议：对于大多数H5混合应用的JS保护需求，网易易盾软件加固是当前性价比最高的方案。投入一次，持续受益。