Всё написанное ниже читать не обязательно, это приступ больной фантазии
Изобрёл некоторое время назад вот такой способ.
1) Грузим только скрипт загрузчик
2) Скрипт загрузчик будет забирать настоящий js код с сервера по веб сокету.
3) Полученный через веб сокеты, код будет запущен при помощи eval.
Если совсем впасть в параною то код можно передавать в зашифрованном виде, а загрузчик будет его расшифровывать перед EVAL. В придачу шифровать можно предварительно обфусцированный код.
Конечно тому кому надо то всё равно отследит сокет запрос, стыбрит данные, затем применит код дешифратора, получит исходный но пока ещё обфусцированный код, затем пропустит код через бьютифуллер. Короче он его всё равно получит, но зато он будет ТААК МАТЕРИТЬСЯ
.
Цена такой кражи для заказчика будет довольна высока, даже если ворует программист не факт что ему хватит терпения и квалификации.
Вопрос стоит ли сомнительная защита кода такой тяжёлой степени маразма и уймы убитого времени защищающегося
Другой способ заключается в том чтобы держать часть функций клиента на сервере и вызывать их посредством RPC. Для хацкера такие функции будут выглядеть как чёрный ящик, который ему не открыть, ему придётся дописывать отсутствующие на клиенте функции самостоятельно. Недостаток дополнительная нагрузка на сервак, для High Load чистой воды безумие. Другой похожий путь запихнуть некоторые функции в контейнеры вроде flash или java апплетов. Такой подход тоже должен порадовать хакера, поднять цену кражи и сроки