1、H5混淆
针对H5的风险问题,普通的JS代码压缩工具已经无法满足需求,需要专门的代码混淆工具来提升破解难度。尽管混淆后的JS代码仍有可能会被逆向和调试,但H5的混淆仍然必不可少,高强度的混淆能够有效提升攻击者的破解成本。
2、参数加密
业务接口参数务必需要加密传输,如果参数没有加密,那么代码混淆的防护效果也会大大减弱。如果可以的话,加密算法最好能定期更新,高频率的更新加密算法+混淆能够有效保障JS的安全。
3、设备指纹
虽然相比于App,H5平台能够采集到的信息较少,但通过这些信息采集来标识设备和识别风险仍然是必要的。一个相对完整的终端环境监测能够有效提升黑产的“脱机”成本,也能够有效识别黑产所使用的工具。
4、人机验证码
人机验证码可以说是H5防控上极其重要的一个点,实际上相当一部分H5平台的安全问题最终都是人机问题。目前传统的字符识别输入等类型验证码仍然大量存在于互联网,这类验证码基本不具备防护能力,破解成本极低。现阶段的互联网人机安全需要新的基于验证行为的智能验证码。
5、风控系统
除了人机问题,业务上还需要风控系统来对业务做全面的安全判断。这里包括账户维度,设备维度,IP黑名单,账户黑名单,手机号黑名单等,这些也都是传统的反爬,反薅羊毛手段。风控系统不仅能从各维度补充H5的安全防护能力,还能灵活应对各种突发风险情况,及时把风险降到最低。
