提升 Web 端 JavaScript 的可信度：WAICT 体系详解

在当前互联网时代，网页是最强大的应用平台。只要在浏览器中拥有合适的 API，你理论上可以安全运行任何你想运行的东西。不过——除了“加密学”这块。事实上，自 2011 年以来，“网页中的 JavaScript 加密”一说就被认为是“不靠谱”的。 其核心问题在于：代码的分发。如果我们在客户端浏览器中生成密钥，从而让用户能够发送／接收端对端加密消息，那么如果应用被篡改，恶意者究竟有什么阻止他们修改 JavaScript 代码并将消息外泄呢？