WPF/Silverlight深度讲解保护Silverlight源码解决方案

Silverlight应用程序发布时会将所有本地资源及类库dll打包进xap文件中，好处是可以非常方便的在网页中部署及桌面化使用；但是同时带来了高度的源码泄露风险。众所周知，xap文件可以被zip等解压软件顺利打开，里面的dll及各种素材资源一目了然； 然后通过****Reflector等工具即可完美的反编译这些dll，就连xaml中的内容也能反射得一清二楚，这不禁让我想起了Flash。网页中的swf可以被众多的下载工具下载，并利用类似**闪客精灵等工具反编译得到甚至具体到每一帧，同样的一切资源将变得毫无遮掩。

在法律体系健全的国家，对知识产权的保护是无微不至的；而在中国这个抄袭盛行的年代，我们该如何应对？

保护Silverlight源码的最终目标只有一个：保护xap文件。下面是一些我总结的保护方案，希望能对大家有所帮助：

方法一：禁止关键文件或文件夹页面缓存

以IIS为例，我们可以将架设Silverlight应用程序的网站ClientBin目录设置为禁止页面缓存：
   
    这样，Silverlight应用程序ClientBin目录下的xap文件将不会被缓存到如C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files目录，其他人将无法通过浏览器缓存拷贝出xap文件。但是，通过“查看源文件”并找到ClientBin/****.xap这句代码，然后使用迅雷等下载工具将网页地址+这句代码粘贴进去，无论权限及端口如何限制，均很难阻止xap文件被下载的厄运；更重要的是，不缓存将导致用户每次访问时均需要重新下载xap文件，不仅增大了服务器负担，同时也是非常不友好体验的表现。

方法二：使用Javascript加密关键的html部分代码

为了不暴露ClientBin/****.xap这句代码，我们可以做的事情有很多。例如禁止查看源文件、禁止页面另存为、禁止使用某些快捷键及鼠标右键等等，然而这样做同样是非常不友好的，且非常容易被破解，毕竟方法太过古老。这时我们不妨考虑使用一些欺诈手段：如使用Javascript加密html代码。关于Javascrpit加密的方法非常之多，大家可以自行搜索关键句：“Javascript加密解密”。其中最简单且直接的方式就是使用JScript.Encode加密方式跟escape方式了：

    然后我们再伪造出一个假的xap载体控件，最终的页面将是如下代码：

    大家注意看，仅仅是多了一行javascript代码其他的几乎一模一样，从而成功的将真实的AK47.xap文件伪装成了假的Silver.xap文件，甚至您还可以在ClientBin目录下真实的放置一个乱七八糟的Silver.xap文件，让下载它的朋友一头雾水，从而达到完美的代码伪装。

通过此方法可以骗过很多人（当然，看过我文章的朋友除外啦 ^ ^），甚至一些还没怎么接触Silverlight的.NET高手；然而一旦遇到Javascript好手，escape这个单词将立即暴露出html的伪装本质，接着轻松的解密更易如反掌。