canvas js（字符串拼接混淆和浏览器canvas指纹）

为了加大JS的阅读难度和调试难度，字符串拼接构成可执行的JS方法(document,avigator,window)是比较常见的策略。比如常用的全局搜索变量名在这种情况下就会失效，同时很多新手会觉得很难而放弃爬取（眼睛都会看花）。

下面简单看看老朋友之家的反爬：

1.自定义字体（破解思路可以看看我前面的文章）。ttf之类的文件本质就是矢量图，矢量图的形状让我们人眼识别出某个字的字形，从而达到反爬的效果。解决办法：一笔一划自有其规则，抽象出规则即可；懂算法的可以用K近邻算法解决.其实本质就是字形看起来差不多。

2.js混淆。每一个段落都带有一段JS，执行JS渲染出合理的效果（注意是通过CSS样式渲染）。注意其中随机的变量名，只要耐心拼接就会发现最后拼接:document之类的可执行JS方法。这部分很简单，只要耐心即可。只要JS能执行，你就可以读出

散列的字符，用变量名来加大调试难度

老朋友之家PC端源码

JS渲染后的代码

随机取一段JS代码格式化后的效果

变量名拼接

每一种浏览器都会使用不同的图像处理引擎，不同的导出选项，不同的压缩等级，所以每一台电脑绘制出的图形都会有些许不同，这些图案可以被用来给用户设备分配特定编号（指纹），也就是说可以用来识别不同用户，一般情况下用户不会去更换硬件设备，所以canvas可以很好的指定当前用户的浏览器，但是当多个用户的硬件设备，浏览器一致时就特别容易产生相同的指纹，所以canvas指纹并不能完全的替代cookie作为用户的身份验证，但是可以作为辅助的验证信息。

下面是某著名安全公司的canvas指纹生成代码

某验canvas指纹代码

个人思路：

1. 请着重看看上面原理加粗的地方。
2. 既然canvas指纹是收集用户机器设备的一些细节，那就证明了即使是相同型号的机器指纹极大可能是不一样的，不然同工厂的相同机器将会出现大量的相同指纹
3. 即安全公司并没有可能把市面上所有的设备指纹收集，他们只能通过这个指纹来判断两个指纹是否一致，是否为恶意用户
4. 即随便伪造他也不知道是否是真实的设备。

以上只是个人猜想，还未校验。

本来是用某验的fullpage.js文件来详解字符串拼接来加密内容的，但是内容比较多，就放到下一次分享。