O ile zwiększy się rozmiar pliku?

Zależy od presetu. **Niski**: +30-60% (głównie kompaktowanie + zaszyfrowane stringi). **Średni**: +150-300% (dochodzi control flow flattening + obroty tablic). **Wysoki**: **+500-1500%** (dead code injection + self-defending). Plik 5 KB na wysokim ustawieniu potrafi urosnąć do 60-80 KB. **Gzip i brotli** robią na tym jednak cuda - finalny transfer przez sieć jest dużo mniejszy niż wskazuje surowy rozmiar.

Jak bardzo zwolni mój kod?

Też zależy od presetu. **Niski**: praktycznie zero (1-2% narzutu). **Średni**: zauważalne na hot path-ach - około **2-5x wolniej** w funkcjach z obróconym string array. **Wysoki**: `controlFlowFlattening` + `deadCodeInjection` mogą **spowolnić 10-30x**. Dla zwykłej logiki UI (kliknięcie, formularz) - nikt nie zauważy. Dla **pętli, animacji, parsowania** - nie polecam wysokiego presetu.

Czy działa na minifikowanym kodzie albo bundle webpack/Vite/Rollup?

Tak. **Najlepiej obfuskować po minifikacji** (czyli ostatni krok build pipeline). Wynik z `vite build`, `webpack --mode production`, `esbuild` jest dobrym wejściem - obfuskator przejmie go i zamotuje dalej. Jeśli obfuskat ma się dobrze gzippować, postaw obfuskację **przed gzipem** (czyli serwer gzippuje już zaobfuskowany kod).

Co z modułami ES (import/export), TypeScript, JSX?

Obfuskator akceptuje **ES2020+** (`import`, `export`, top-level await, optional chaining, etc.). **TypeScript** musisz najpierw skompilować do JS (np. `tsc`, `esbuild`) - obfuskator nie czyta typów. **JSX** też - skompiluj przez Babel/SWC do `React.createElement` (albo nowego `_jsx`), potem obfuskuj wynik.

A sourcemapy? Mogę debugować w produkcji?

Obfuskator może wygenerować sourcemap (`sourceMap: true`), **ale tracisz cały sens obfuskacji** - sourcemap to plik z mapowaniem zaszyfrowanej nazwy na oryginalną. Jeśli go opublikujesz, każdy kliknie "Pretty print" w DevTools i ma czysty kod. Praktyka: **żadnych public sourcemap dla obfuskatu**. Trzymaj sourcemap prywatnie w Sentry/Rollbar, deobfuskuj stack trace-y po stronie serwera.

Czy obfuskat działa we wszystkich przeglądarkach?

Tak - wynik to standardowy JavaScript. Domyślnie obfuskator celuje w **ES2015+** (Chrome 49+, Firefox 45+, Safari 10+). Jeśli musisz wspierać IE11, najpierw przepuść kod przez Babel + polyfille, **potem** obfuskuj.

Czy kod, który tu wklejam, idzie na wasz serwer?

**Nie.** Cały proces dzieje się w przeglądarce - pakiet `javascript-obfuscator` ładuje się jako JS na twojej maszynie, dostaje twój kod jako string, zwraca wynik. **Zero ruchu sieciowego** poza wstępnym pobraniem biblioteki (jednorazowo, cache). Możesz wyłączyć internet po załadowaniu strony - dalej będzie działać.

Mogę cofnąć obfuskację? Co jeśli zgubię oryginał?

Nie istnieje **odwrotna operacja** "deobfuskacja do oryginału" - obfuskator gubi nazwy zmiennych i strukturę. Możesz tylko **upiększyć** (Prettier) i ręcznie nazywać zmienne ("ten _0x4857 to chyba response handler"). To **godziny pracy**. **Zawsze trzymaj wersję źródłową** w Git - obfuskat to artefakt build, nie kod źródłowy.

Jaki preset wybrać dla zwykłego projektu?

**Średni** to dobry domyślny. Daje sensowne utrudnienie czytania, narzut wydajnościowy minimalny, rozmiar w granicach rozsądku. **Niski** używaj, gdy obfuskujesz cały bundle aplikacji (np. 500 KB) i nie chcesz potroić rozmiaru. **Wysoki** zostaw na **fragmenty wrażliwe** - np. tylko ten 50-liniowy moduł walidacji licencji, nie cały bundle.

Obfuskator JavaScript - darmowy

Po co obfuskować JavaScript?

Wszystko co wysyłasz do przeglądarki - kod JS, klucze API, logika płatna, walidacja licencji - można otworzyć w DevTools w 3 sekundy i przeczytać. Obfuskacja nie szyfruje tego kodu (to nie jest możliwe - przeglądarka musi w końcu go wykonać), tylko podnosi poprzeczkę tak żeby zwykłe `Ctrl+F` w panelu Sources nic ciekawego nie znalazło.

Zmienne dostają nazwy w stylu `_0x4857`, stringi lądują w zaszyfrowanej tablicy, control flow zostaje "spłaszczony" i zamotany, liczby zamieniane są na wyrażenia (`5` → `0x1 + 0x4`). Wszystko dalej działa identycznie w przeglądarce.

Wklej kod, wybierz preset (Niski / Średni / Wysoki) albo wyklikaj opcje ręcznie, skopiuj albo pobierz wynik. Cała robota dzieje się w twojej przeglądarce - kod nie idzie nigdzie na zewnątrz. To istotne, bo zwykle obfuskujesz coś, czego nie chcesz pokazywać.

Jak korzystać

Wklej kod JavaScript w lewy panel albo kliknij "Wczytaj plik" żeby załadować `.js`, `.ts`, `.mjs` z dysku.
Wybierz preset: Niski (lekka kosmetyka), Średni (rozsądny domyślny), Wysoki (maks. zamotanie - wolniejszy runtime).
Opcjonalnie rozwiń opcje zaawansowane i przełącz pojedyncze flagi (np. dodaj selfDefending, wyłącz deadCodeInjection).
Po prawej zobaczysz wynik obfuskacji plus porównanie rozmiaru - im wyższy preset, tym większy plik.
Sprawdź wynik w DevTools - powinien działać identycznie jak oryginał. Jeśli coś wybucha, zmniejsz preset.
Kliknij "Kopiuj" żeby wkleić do bundlera albo "Pobierz" żeby zapisać jako `obfuscated.js`.
Wrzuć wynik do produkcji. Oryginalny kod trzymaj prywatnie - obfuskat jest tym, co ląduje na serwerze.

Do czego się przydaje

Konkretne sytuacje gdy warto obfuskować:

Własny algorytm po stronie klienta. Np. spersonalizowany engine rekomendacji, oryginalny algorytm sortowania, niestandardowa logika gry przeglądarkowej.
Walidacja licencji w SaaS. Klient ma dostęp do JS, ale szybki crack ("usuń `if (!valid) return`") jest trudniejszy, bo `valid` nie istnieje już jako nazwa.
Ukrycie endpointów API. URL-e i klucze są dalej widoczne (dla każdego kto chce je znaleźć), ale nie wyskakują z grep-a w pierwszej sekundzie.
Ochrona kodu przed konkurencją. Mała firma, biblioteka SaaS hostowana u klienta - obfuskacja podnosi koszt skopiowania logiki.
Anti-tampering w widgetach. Widget czatu, formularz lead-gen, embed analityczny - utrudnia modyfikowanie tych skryptów na żywo.
Skrypty extension/userscript. Jeśli rozprowadzasz userscript, obfuskacja chroni przed "fork i sprzedaj jako własne".

Potem zoptymalizuj jeszcze SVG albo przekonwertuj HTML do JSX. Do bezpieczeństwa po stronie klienta użyj raczej generatora silnych haseł.

Pytania i odpowiedzi

Nie. Obfuskacja to utrudnienie czytania, nie szyfrowanie. Kod dalej musi się wykonać w przeglądarce, więc silnik JS musi rozumieć każdą instrukcję. Każdy, kto włoży trochę pracy (5-30 minut z narzędziami w stylu deobfuscator.io, AST explorer, prettier), odzyska sensowny kod. To "speed bump" przeciw script-kiddies, nie bunkier przed determined attacker. Nigdy nie wrzucaj do obfuskowanego kodu prawdziwych sekretów (np. private API keys, klucze szyfrujące) - te trzymaj na backendzie.

Po co obfuskować JavaScript?

Jak korzystać

Wklej kod JavaScript w lewy panel albo kliknij "Wczytaj plik" żeby załadować `.js`, `.ts`, `.mjs` z dysku.

Wybierz preset: Niski (lekka kosmetyka), Średni (rozsądny domyślny), Wysoki (maks. zamotanie - wolniejszy runtime).

Opcjonalnie rozwiń opcje zaawansowane i przełącz pojedyncze flagi (np. dodaj selfDefending, wyłącz deadCodeInjection).

Po prawej zobaczysz wynik obfuskacji plus porównanie rozmiaru - im wyższy preset, tym większy plik.

Sprawdź wynik w DevTools - powinien działać identycznie jak oryginał. Jeśli coś wybucha, zmniejsz preset.

Kliknij "Kopiuj" żeby wkleić do bundlera albo "Pobierz" żeby zapisać jako `obfuscated.js`.

Wrzuć wynik do produkcji. Oryginalny kod trzymaj prywatnie - obfuskat jest tym, co ląduje na serwerze.

Do czego się przydaje

Konkretne sytuacje gdy warto obfuskować:

Własny algorytm po stronie klienta. Np. spersonalizowany engine rekomendacji, oryginalny algorytm sortowania, niestandardowa logika gry przeglądarkowej.
Walidacja licencji w SaaS. Klient ma dostęp do JS, ale szybki crack ("usuń `if (!valid) return`") jest trudniejszy, bo `valid` nie istnieje już jako nazwa.
Ukrycie endpointów API. URL-e i klucze są dalej widoczne (dla każdego kto chce je znaleźć), ale nie wyskakują z grep-a w pierwszej sekundzie.
Ochrona kodu przed konkurencją. Mała firma, biblioteka SaaS hostowana u klienta - obfuskacja podnosi koszt skopiowania logiki.
Anti-tampering w widgetach. Widget czatu, formularz lead-gen, embed analityczny - utrudnia modyfikowanie tych skryptów na żywo.
Skrypty extension/userscript. Jeśli rozprowadzasz userscript, obfuskacja chroni przed "fork i sprzedaj jako własne".

Potem zoptymalizuj jeszcze SVG albo przekonwertuj HTML do JSX. Do bezpieczeństwa po stronie klienta użyj raczej generatora silnych haseł.

Pytania i odpowiedzi

Obfuskator JavaScript