与现代 Web 应用程序中的其他组件相比，客户端代码中存在的漏洞非常少。即使您有非常明显的 CWE-602违规，由于缺乏服务器端控制，该漏洞仍然存在。据我所知，没有任何工具可以检测到 CWE-602 违规。

话虽如此，客户端并不能完全免除漏洞。最大的两个问题是混合内容漏洞和基于 dom 的 xss。 Domsnitch是少数能够同时检测到这两种情况的工具之一，尽管它也会产生大量误报。

还有一些商业工具可以对 JavaScript 进行静态代码分析，以发现漏洞。 HP Fortify和IBM 的 AppScan就是此类软件的示例。

我不知道有什么好的安全代码审查工具专注于 jQuery。

对于纯 Javascript，Douglas Crockford 的JavaScript: The Good Parts + JSLint是一个出色的工具，可以帮助您避免代码中的许多错误，可能包括安全错误。

如果可能，我建议设置限制性内容安全策略 (CSP)并编写您的 Javascript 以符合 CSP。这对于新代码可能是最可行的，但如果您已经拥有大量现有代码，则可能不可行。

特别是，我建议设置一个禁止eval和类似 eval 的构造的 CSP（因为这些构造经常被滥用并且经常导致安全漏洞）。此外，如果可行且对您来说没有太多成本，请禁止内联 Javascript 和通过 HTTP 加载的 Javascript；将所有脚本放在一个单独的文件中，该文件通过script src=...标签通过 HTTPS 加载。CSP 的好处是它可以帮助您实施对安全性有益的编码规则的某些方面。例如，请参阅Twitter 如何使用 CSP以及Google Chrome 扩展如何使用 CSP。

有一种方法可以保护Ajax调用：

jQuery 延迟对象 Promise 回调

并创建一个全局函数并将其与延迟对象一起使用。

但是在 Jquery Support 上，他们说没有办法隐藏或保护 Jquery(js) 代码

它是客户端，他们可以做任何他们想做的事！

我的建议：是在使用 ajax 甚至在任何 func 中使用非正常的短而不是描述性变量

只需在 Facebook 中进行，他们会发送 /like.php?_a=1 来表示 ajax 中的点赞，发送 _a=0 表示不喜欢