【IT168 评论】近几年，JavaScript无所不在，已经有很多东西通过它创建了，至少有很大一部分网站是使用JavaScript创建的。JavaScript容易学习和使用，因为其本身易于并入，并具有广泛的可用性。比如，开放源代码库(如jQuery和React.js)和框架(如Backbone.js，Angular.js和Ember.js)。

　　最重要的事实是JavaScript是动态的。很多公司已经承认了这种语言的力量，并使用它来开发十分重要的程序。这引起了大家对JavaScript开发问题的关注，越来越多的数据和知识产权被放在客户端。如果公司只专注于保护服务器端，他们将面临其他来自于客户端的攻击，如用户体验篡改，恶意软件注入，数据泄露，MitB，知识产权和代码盗窃等。

　　根据Statista所示，全球有超过30亿人在访问互联网，这给了网络盗贼一个巨大的获利机会。去年，发现近10亿Android手机，黑客只需要一个短信就可以入侵。此外，所谓的流氓应用商店正在成为开发者重点关注的领域。智能手机常常出现免费提供的应用修改版本，在某些情况下，这些应用程序可以盗取移动银行密码或重定向包含密码的短信。

　　传统意义上，代码保护意味着在服务器上存储尽可能多的代码，这可以保护代码安全，并允许服务器在性能方面提升，虽然这有一些缺点。如果你正在开发一个离线工作的应用程序，那么这是不可行的。 另一个考虑是性能，服务器调用需要时间。简单的应用程序访问没问题，但对于高性能的应用程序，如游戏，过多的延迟会破坏用户体验。

　　经常出现的一个问题是，“为什么不能加密JavaScript代码?”似乎有一个不错的解决方案，比如你可以加密文件，但这对浏览器没什么用，因为只有解密文件才对浏览器可读，这就陷入了一个死循环中。

　　到目前为止，很多公司仍然严重依赖端点安全解决方案来保护客户端，然而解决方案(如防病毒软件)的成功率很低，约为40%。如果我们认为应用程序包含服务器端和客户端，并且客户端解决方案不一定必须是端点安全性，那么可以理解为每个客户端应用程序都有自己隐藏的防御系统。

　　到目前为止，公司一直在关注服务器端的威胁，并很少注意客户端的黑客隐患。通常，IT团队不知道客户端没有充分保护的前提下，将面临多大的风险。技术旨在检测对客户端上的应用程序的篡改这意味着开发和安全团队知道并可以执行计划，以确保攻击不成功。我们假设这类防御措施发生在不安全的环境下，我们就必须采用一些手段允许应用程序安全地执行。

　　由于HTML5和JavaScript越来越普遍，越来越多的应用逻辑从服务器端传递到客户端。这需要开发人员更多地关注安全性，应用程序需要以全面的方式进行保护。附加的安全层允许应用程序自我防御，确保它能够检测任何种类的篡改，并使代码与程序的执行脱轨。此外，可以设置告警机制检测应用程序是否被篡改或在除了定义的环境或日期之外的其他环境中被使用。

　　攻击随时随地都会发生，因为没有有效的对策，我们显得很被动。我们需要认识和理解由于不保护客户端而造成的损失。现在是时候采取安全措施，更好地保护网络资产了。