Пишем функцию по кодированию/декодированию текста, используя симметричный алгоритм — или любой открытый или пишем свой — алгоритм завязан на закрытый ключ, программа верного ключа не знает, но знает алгоритм дешифрования. Далее: код доступен в зашифрованном виде, например, в JSON-формате, мы его грузим, парсим, и запускаем порционно (построчно, блоками) через eval(), перед каждым запуском спрашивая пароль на сервере (ибо хранить в переменной небезопасно) и декодируя листинг. Но тогда непонятно один на всех пароль? Или под каждого юзера свой пароль, а значит и свой зашифрованный листинг? Или у вас будет пароль один, но каждый день разный? Или пароль вводит юзер? Тогда всё проще, но непонятно, почему бы юзеру не продать пароль ещё десятку тысяч пользователей за треть стоимости. Надо привязывать пароль к железу или там сигнатуре браузера. А вообще, можно придумать способ собрать код и из сегментированного eval(). Достаточно инъекций User JS и не устоит никакая защита. В итоге, в момент исполнения, код всё равно будет в программе в явном виде. Можно, конечно, отправлять серверу все включения js, а он уже будет сравнивать их все с эталоном и если всё ок, только тогда отдавать зашифрованный листинг... Но, подозреваю, это тоже вариант защиты только от «продвинутого пользователя». Единственный 90% вариант защиты — выполнять работу на стороне сервера на серверном языке (10% на взлом сервака). Решайте сами, что важнее — код на JS и хрупкая защита или неудобный для вас серверный вариант, но более надёжная защита. Есть ещё вариант: Если работать прога будет как десктопное приложение. Сделать прогу на HTML/JS, в формате HTA, затем конверировать её в exe, например вот этой прогой (вечный триал) и voila, код недоступен. Но надо разобраться в HTA, предложенная программа, кстати, поможет вам с тем, чтобы убрать контекстные меню, настроить окно и т.д.