Wie stark wächst die Filegröße?

Hängt vom Preset ab. **Low**: +30-60% (vor allem Kompaktieren und String-Array). **Medium**: +150-300% (ergänzt Control-Flow-Flattening und Array-Rotation). **High**: **+500-1500%** (Dead-Code-Injection plus Self-Defending). Eine 5-KB-Datei auf High kann auf 60-80 KB wachsen. **Gzip und Brotli** helfen aber viel - die übertragene Größe ist viel kleiner als die Rohzahl vermuten lässt.

Wie viel langsamer wird mein Code zur Laufzeit?

Auch preset-abhängig. **Low**: praktisch null (1-2% Overhead). **Medium**: spürbar auf Hot-Paths - etwa **2-5x langsamer** in Funktionen, die das rotierte String-Array anfassen. **High**: `controlFlowFlattening` plus `deadCodeInjection` können Code **10-30x langsamer** machen. Für normale UI-Logik (Click-Handler, Form-Submits) merkt es niemand. Für **enge Loops, Animationen, Parser** - nimm das High-Preset nicht.

Funktioniert es auf minifiziertem Code oder einem webpack/Vite/Rollup-Bundle?

Ja. **Nach der Minifizierung obfuskieren** (also als letzter Schritt in deiner Build-Pipeline). Output von `vite build`, `webpack --mode production`, `esbuild` ist guter Input - der Obfuskator nimmt es und verheddert es weiter. Für gute Gzip-Ratios obfuskieren **vor gzip** (also gzipt der Server den obfuskierten Code).

Was ist mit ES-Modules (import/export), TypeScript, JSX?

Der Obfuskator akzeptiert **ES2020+** (`import`, `export`, Top-Level-Await, Optional-Chaining etc.). **TypeScript** muss zuerst zu JS kompiliert werden (z. B. `tsc`, `esbuild`) - der Obfuskator liest keine Typen. **JSX** auch - via Babel/SWC zu `React.createElement` (oder dem neuen `_jsx`) kompilieren, dann obfuskieren.

Und Source-Maps? Kann ich in Production noch debuggen?

Der Obfuskator kann eine Source-Map emitten (`sourceMap: true`), **aber das untergräbt den ganzen Sinn** - die Map ist buchstäblich eine Datei, die die obfuskierten Namen zurück in die Originale übersetzt. Veröffentlichst du sie, klickt jeder "Pretty print" in DevTools und hat sauberen Code. Faustregel: **Source-Maps für obfuskierten Code nie veröffentlichen**. Map in Sentry/Rollbar privat halten, Stacktraces serverseitig deobfuskieren.

Läuft der Output in jedem Browser?

Ja - der Output ist Standard-JavaScript. Per Default zielt der Obfuskator **ES2015+** (Chrome 49+, Firefox 45+, Safari 10+). Musst du IE11 supporten, lass den Code zuerst durch Babel und Polyfills, **dann** obfuskieren.

Verlässt der gepastete Code meinen Browser?

**Nein.** Der ganze Prozess läuft im Browser - das `javascript-obfuscator`-Paket lädt als JS auf deinem Rechner, nimmt deinen Code als String und gibt das Ergebnis zurück. **Null Netzwerk-Traffic** außer dem Initial-Library-Download (einmalig, gecacht). Du kannst nach dem Laden offline gehen, das Tool funktioniert weiter.

Kann ich Obfuskierung rückgängig machen, wenn ich das Original verliere?

Es gibt **keine umgekehrte "deobfuskieren zum Original"-Operation** - der Obfuskator wirft Variablennamen und Struktur weg. Du kannst nur **beautifyen** (Prettier) und Variablen manuell umbenennen ("dieses _0x4857 sieht aus wie ein Response-Handler"). Das sind **Stunden Arbeit**. **Source-Version immer in Git halten** - die obfuskierte Datei ist ein Build-Artefakt, nicht die Source-of-Truth.

Welches Preset für ein normales Projekt?

**Medium** ist ein sinnvoller Default. Es macht das Lesen merklich schwerer, der Laufzeit-Overhead ist minor, und die Filegröße bleibt vertretbar. Nimm **Low**, wenn du ein ganzes App-Bundle obfuskierst (z. B. 500 KB) und es nicht verdreifachen willst. Spar **High** für **sensible Fragmente** - das eine 50-Zeilen-Lizenz-Check-Modul, nicht das ganze Bundle.

JavaScript-Obfuscator - kostenlos

Warum JavaScript obfuskieren?

Alles, was du an den Browser shippst - JS-Code, API-Endpoints, Paywall-Logik, Lizenz-Checks - kann in 3 Sekunden in DevTools geöffnet und gelesen werden. Obfuskierung ist keine Verschlüsselung (per Definition unmöglich - der Browser muss den Code immer noch ausführen), aber sie hebt die Latte, sodass ein beiläufiger `Strg+F` im Sources-Panel nichts Interessantes findet.

Variablen werden zu Sachen wie `_0x4857` umbenannt, Strings wandern in eine verschlüsselte Lookup-Tabelle, Control-Flow wird "geflattet" und verheddert, Zahlen werden zu Ausdrücken (`5` wird `0x1 + 0x4`). Alles verhält sich zur Laufzeit identisch.

Code pasten, ein Preset wählen (Low / Medium / High) oder einzelne Optionen toggeln, Ergebnis kopieren oder runterladen. Alles läuft im Browser - der Code verlässt deinen Rechner nie. Das zählt, weil du meist genau das obfuskierst, was du nicht teilen willst.

So nutzt du das Tool

JavaScript-Code ins linke Panel pasten oder "Upload file" klicken, um `.js`, `.ts`, `.mjs` von der Disk zu laden.
Ein Preset wählen: Low (leichtes Make-up), Medium (sinnvoller Default), High (maximale Verheddung - langsamere Laufzeit).
Optional die erweiterten Optionen aufklappen und einzelne Flags toggeln (z. B. selfDefending an, deadCodeInjection aus).
Rechts siehst du den obfuskierten Output plus Größenvergleich - höheres Preset, größere Datei.
Das Ergebnis in DevTools testen - es sollte sich identisch zum Original verhalten. Wenn etwas bricht, Preset runter.
"Copy" drücken, um es in deinen Bundler zu pasten, oder "Download", um als `obfuscated.js` zu speichern.
Die obfuskierte Version in Production shippen. Den Original-Code privat halten - das obfuskierte File ist das Artefakt, nicht der Source.

Wann das hilft

Konkrete Situationen, in denen sich Obfuskierung auszahlt:

Ein proprietärer client-seitiger Algorithmus. Etwa eine eigene Recommendation-Engine, ein eigener Sortier-Algorithmus, eigene Regeln eines Browser-Games.
Lizenz-Validierung in einer SaaS-App. Der Client hat das JS, aber ein schneller Crack ("lösch dieses `if (!valid) return`") ist schwerer, wenn `valid` nicht mehr als Name existiert.
API-Endpoints verstecken. URLs und Keys sind weiter sichtbar (für jeden Hartnäckigen), aber sie tauchen in einer Ein-Sekunden-Grep nicht auf.
Code vor Konkurrenten schützen. Eine kleine Firma shippt eine SaaS-Library, die der Kunde hostet - Obfuskierung erhöht die Kosten, deine Logik zu klonen.
Anti-Tampering für Widgets. Chat-Widgets, Lead-Gen-Formulare, Analytics-Snippets - Obfuskierung erschwert das Live-Ändern in freier Wildbahn.
Browser-Extensions und Userscripts. Verteilst du ein Userscript, schreckt Obfuskierung von "fork and resell as my own" ab.

Nächster Schritt: auch deine SVG-Assets optimieren oder HTML zu JSX konvertieren. Für echte client-seitige Sicherheit nimm einen starken Passwort-Generator.

Häufig gefragt

Nein. Obfuskierung ist schwerer zu lesen, nicht verschlüsselt. Der Code muss weiter im Browser laufen, also muss die JS-Engine jedes Statement verstehen. Wer ein bisschen Arbeit reinsteckt (5-30 Minuten mit Tools wie deobfuscator.io, AST-Explorer, prettier) kann lesbaren Code rekonstruieren. Das ist eine Bremsschwelle gegen Script-Kiddies, kein Tresor gegen einen entschlossenen Angreifer. Nie echte Secrets (private API-Keys, Encryption-Keys) in obfuskiertem Code unterbringen - die gehören ins Backend.

Warum JavaScript obfuskieren?

So nutzt du das Tool

JavaScript-Code ins linke Panel pasten oder "Upload file" klicken, um `.js`, `.ts`, `.mjs` von der Disk zu laden.

Ein Preset wählen: Low (leichtes Make-up), Medium (sinnvoller Default), High (maximale Verheddung - langsamere Laufzeit).

Optional die erweiterten Optionen aufklappen und einzelne Flags toggeln (z. B. selfDefending an, deadCodeInjection aus).

Rechts siehst du den obfuskierten Output plus Größenvergleich - höheres Preset, größere Datei.

Das Ergebnis in DevTools testen - es sollte sich identisch zum Original verhalten. Wenn etwas bricht, Preset runter.

"Copy" drücken, um es in deinen Bundler zu pasten, oder "Download", um als `obfuscated.js` zu speichern.

Die obfuskierte Version in Production shippen. Den Original-Code privat halten - das obfuskierte File ist das Artefakt, nicht der Source.

Wann das hilft

Konkrete Situationen, in denen sich Obfuskierung auszahlt:

Ein proprietärer client-seitiger Algorithmus. Etwa eine eigene Recommendation-Engine, ein eigener Sortier-Algorithmus, eigene Regeln eines Browser-Games.
Lizenz-Validierung in einer SaaS-App. Der Client hat das JS, aber ein schneller Crack ("lösch dieses `if (!valid) return`") ist schwerer, wenn `valid` nicht mehr als Name existiert.
API-Endpoints verstecken. URLs und Keys sind weiter sichtbar (für jeden Hartnäckigen), aber sie tauchen in einer Ein-Sekunden-Grep nicht auf.
Code vor Konkurrenten schützen. Eine kleine Firma shippt eine SaaS-Library, die der Kunde hostet - Obfuskierung erhöht die Kosten, deine Logik zu klonen.
Anti-Tampering für Widgets. Chat-Widgets, Lead-Gen-Formulare, Analytics-Snippets - Obfuskierung erschwert das Live-Ändern in freier Wildbahn.
Browser-Extensions und Userscripts. Verteilst du ein Userscript, schreckt Obfuskierung von "fork and resell as my own" ab.

Nächster Schritt: auch deine SVG-Assets optimieren oder HTML zu JSX konvertieren. Für echte client-seitige Sicherheit nimm einen starken Passwort-Generator.

Häufig gefragt

JavaScript-Obfuscator