不要在前端放敏感數據
這個聽起來是廢話，但真的很重要。
有些開發者在手機端明文存用戶的密碼，這是非常危險的事情。
即使是原生開發，一旦手機被root，也會造成數據泄漏。更何況HTML5開發。
比較好的做法是手機端存token，而不是密碼，這里有篇文章專門介紹這塊，涉及做登錄的開發者推薦仔細看看設計基于HTML5的APP登錄功能及安全調用接口的方式（原理篇）

js、css壓縮
壓縮不是加密，也不是混淆。但壓縮后的js文件，往往也具有混淆的功能。
js、css壓縮是很常見的技術，我們經常看到各種框架的文件名是xxx.min.js，xxx.min.css。
使用合適的js、css壓縮方案，可以減少文件體積、提高載入速度，最重要的是，它還能加快程序的執行性能。簡直是有百利而無一害。
壓縮js比較常用的工具是yahoo的YUI混淆，在HBuilder里點菜單工具-插件安裝，里面有YUI compress，可以壓縮js和css。
如果js、css比較大，發布前壓縮下是比較推薦的做法。

HTML、js、css混淆
壓縮雖然也能混淆，但不是以讓別人看不懂為目的，混淆是真正以別人看不懂為目的。
但是這樣的混淆就不像壓縮那么有百利而無一害了，它會降低程序執行性能。
一些開發者不希望發行包解壓后可以直接看到源碼，那么此時可以使用混淆方案。
網上搜索HTML混淆，資料和工具都非常多。
原理都是類似的，js代碼變成亂七八糟的字符串，然后用eval執行，HTML代碼變亂七八糟字符串，用document.write或innerHTML執行，css也可以動態的在document.write里寫<style>。
這些工具有免費也有商業的，一般越商業的越難被反混淆。
這個是免費的在線混淆工具?http://www.myobfuscate.com
這個是比較知名的商業工具，http://www.jasob.com
其實大家也可以根據原理自己寫混淆算法。
混淆也是一個有年頭的成熟技術，比如Google在保護gmail的前端代碼時，也是通過混淆來保護的。
不管是壓縮還是混淆，使用grunt來做發布是不錯的方式，開發后一鍵調用grunt處理，非常便捷。

防止webkit remote debug，即防止瀏覽器控制臺調試
Android4.4及以上和iOS是支持webkit remote debug的，在HBuilder的教程里也有如何使用chrome調試Android應用，和使用safari調試iOS應用的教程。
在HBuilder開發的App里，manifest.json里下的plus-distribute下有一個debug標簽，標記為false后打包（可視化界面里也有配置），這樣的包運行在手機上時webview會阻止瀏覽器的遠程調試請求。
如果你想調試，那么把debug改為true后再打包。
當然有些Android rom不是很規范，并不能阻止調試，這屬于rom的bug。
另外注意只有打包才能防調試，真機運行是不能阻止調試的。

專業加密加固加殼服務
由于Android的特殊性，針對apk出現了加固、加殼產業，這也是業內常見的apk保護方案。
很多應用市場都提供加固服務，比如360手機助手的加固。
還有一批專業公司如<a">愛加密，里面有免費的基礎安全保障服務，也有收費的高級安全保障服務。
這里還有一個防止apk解壓的小技巧：http://www.52pojie.cn/thread-287242-1-1.html

HBuilder的alpha版本提供的原生js混淆
在HBuilder的alpha版（day build）里，官方提供了原生層面的js混淆。
這種混淆的性能比純前端混淆的性能要更好，反編譯的難度也更大。但目前有個問題就是Android4以下的手機不能運行加密后的版本。所以還沒有放到正式版HBuilder里。alpha版的HBuilder下載地址：
百度云盤下載地址http://pan.baidu.com/s/1hs0O4eS
360云盤下載地址https://yunpan.cn/cBufFkhXP8t4b?訪問密碼 a309
具體使用方式是在打包界面，可以選擇需要加密的js文件，然后打包即可。