看到最近 2 天讨论最多的前端加密方式防止逆向，分享一下有意思的东西

这种视频网站有个通病，就是再怎么加密，一定会有获取 m3u8 这个步骤。

如果获取的是明文 m3u8 ，必定会被浏览器给捕获，也会被带过滤器的浏览器插件给捕获，这是 100%可以复现的。

有那种二进制加密 m3u8 ，取回来内存解密，但是这种极少见。

老哥你分享的第二个网站太棒了

@tool2d 我给你单独抽出来吧 https://jx.yangtu.top/?url= 主流视频站的地址

@ljrdxs 如果连 base64 编码都不知道，那我感觉他也不清楚网站的特殊之处，为了过滤一部分吧

@hsuehliuyang 也许我们侧重点不一样，我是觉得自己插件能提取出任意的 m3u8 地址，直接本地播放。

你可能需要研究 m3u8 地址是如何拼接出来的，如何调用他们的 API 。

我不是做视频站的，对 API 不太关心。只要能下载视频切片，能本地看视频就可以了。

哈哈 第二个网址不错 除了资源不太全 没啥问题

如果我要 CSRF ，你加密是 wasm 我拿着你的 wasm 用就行了
如果我要看加密前的内容，只要找到你调用 wasm 的地方打断点就行了
所以这个解决了什么问题呢？

没看出来有什么挑战性

这种就别发了

想挑战自己第一去搞谷歌的 recaptcha ，第二去搞淘宝的反爬

52 上这种破解 wasm 很多

@otakustay 你可以拿着 wasm 运行一下，你就知道了

@hsuehliuyang 光凭编码我也看不出。只是 base64 用的最多罢了。

我只知道一个比较大的就是微信读书的 web 页面 https://weread.qq.com/ 反正这个没看到人破解

wasm 总要导出函数，直接拿着导出函数用不就完事了，管他内部怎么处理的

(func $env.syscall/js.valueSet (;0;) (import "env" "syscall/js.valueSet") (param i32 i32 i32 i32 i32))
(func $env.syscall/js.valuePrepareString (;1;) (import "env" "syscall/js.valuePrepareString") (param i32 i32 i32))
(func $env.syscall/js.valueLoadString (;2;) (import "env" "syscall/js.valueLoadString") (param i32 i32 i32 i32 i32))
(func $env.syscall/js.valueLength (;3;) (import "env" "syscall/js.valueLength") (param i32 i32) (result i32))
(func $env.syscall/js.valueIndex (;4;) (import "env" "syscall/js.valueIndex") (param i32 i32 i32 i32))
(func $env.syscall/js.valueGet (;5;) (import "env" "syscall/js.valueGet") (param i32 i32 i32 i32 i32))
(func $env.syscall/js.valueCall (;6;) (import "env" "syscall/js.valueCall") (param i32 i32 i32 i32 i32 i32 i32 i32))
(func $env.syscall/js.stringVal (;7;) (import "env" "syscall/js.stringVal") (param i32 i32 i32 i32))
(func $env.syscall/js.finalizeRef (;8;) (import "env" "syscall/js.finalizeRef") (param i32 i32))
(func $env.runtime.ticks (;9;) (import "env" "runtime.ticks") (result f64))
(func $wasi_snapshot_preview1.fd_write (;10;) (import "wasi_snapshot_preview1" "fd_write") (param i32 i32 i32 i32) (result i32))
(func $wasi_snapshot_preview1.random_get (;11;) (import "wasi_snapshot_preview1" "random_get") (param i32 i32) (result i32))

@learningman 内部有检测，你可以拿着运行一下

一个视频网站，m3u8 没加密，切片没加密，我也不知道楼主想要破解什么信息。

第一个网站 已经搞定了

t/967442

@tool2d 接口呀

@bigha 大佬，大佬

连 js 混淆都不做，根本没有想要防的意思。它这个业务，侵权就不说了，偷流量、滥用 cdn 真是熟练。

@kuanat 有没有可能人家比较自信，连 debugger 都没

@hsuehliuyang 这和有没有自信没关系啊。

前段混淆无非就是防君子、小人和机器人。第一个网站的业务，显然不是防君子防机器人

@hsuehliuyang 这和有没有自信没关系啊。

前段混淆无非就是防君子、小人和机器人。第一个网站的业务，显然不是防君子防机器人，防小人也用不着，因为没有一点东西是自己的。

但是你看它用伪造的 png 头假装图片跑视频流，然后用某站的缓存漏洞托管自己的播放列表文件，这种手段水平，想加个 js 混淆太容易了。

它真想藏的大概不是 url 而是流量。

@kuanat 是的就网站首页是他自己的

@kuanat 我去，学习了，还能这样操作