文/leadzen  出处/博客园

      在ASP.NET页面中，我们编写JavaScript脚本附加有注释时，这些注释也往往会随JavaScript脚本一起送到客户端。访问者只要在浏览器里查看HTML源文件就可以看到这些注释。

    当然，我们可以选择放弃使用注释。然而，有些JavaScript代码又是必须有注释的。比如有些代码故意写得很乱，以用来迷惑恶意攻击者。如果没有注释，恐怕也把自己给迷惑进去了，但加了注释，岂不又给了攻击者一个指路标。

    有没有办法让JavaScript的注释在客户端不可见呢？

    答案很简单，就是：JavaScript注释 + 服务器端注释！

    行注释写法：

      //<%-- 这里写行注释 --%>


    块注释写法：

      /*<%--
          这里写注释语句块，
          多行都行。
      --%>*/

    我们自己的开发人员可以阅读到完整的注释，而编译后的ASP.NET页面将忽略掉<%--到--%>中的注释部分，恶意攻击者在客户端就看不到这些注释了。

    他只能看到：// 或者 /**/    然后，然后立马晕倒！

    您可能已经早知道这一诀窍，不过俺是自己想到的。菜鸟并非总吃素，偶尔啄到小虫子。

感谢原创者的辛勤劳动，希望对您有所帮助，转载请注明原出处。

您可能对 [javascript] 的这些文章也感兴趣： 用JavaScript实现页面百叶窗效果 如何在服务端(Page.Write)调用自定义的JS方法 实例代码：JavaScript通用表单验证函数 John Resig谈TraceMonkey和基于JavaScript的RIA未来 在CRM定制中常用的Javascript 首页地址添加到收藏夹(javascript) 网页软键盘,有效的防止监测键盘的木马软件 一步一步教你用JS和INF编辑注册表 利用搜索引擎引用来高亮页面关键字 Javascript实例教程(10) 创建"后退"按钮