V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Vegetable
V2EX  ›  前端开发

不懂了问一下,生产环境难道不应该关掉 sourcemap 吗?

  •  
  •   Vegetable · 2020-05-12 17:47:47 +08:00 · 3038 次点击
    这是一个创建于 1659 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天看到一个大家都知道的网站开着 sourcemap,我的认识中这么做好像不太恰当。

    鉴于我也不知道这属不属于严重的问题,就不说是谁了。

    11 条回复    2024-07-16 10:23:42 +08:00
    SilentDepth
        1
    SilentDepth  
       2020-05-12 20:18:52 +08:00
    不能算严重的问题。提供 Sourcemap 相当于暴露了一部分源码。如果业务的核心资产就在 JS 那理论上确实不该提供 Sourcemap,但啥产品非得考虑到这种程度啊……另外 Sourcemap 的体积通常挺大的,用户浏览器可能会自动加载,这样可能会造成额外的带宽压力。

    提供 Sourcemap 的好处是生产出了问题方便调试。
    ochatokori
        2
    ochatokori  
       2020-05-12 20:19:49 +08:00 via Android
    也不是十分严重?
    想看你代码的你挡不住,不想看你给他也没用。
    randyo
        3
    randyo  
       2020-05-12 20:39:41 +08:00 via Android
    没啥严重的,主要方便调试。如果不想别人看到源码,就关了了,或者设权限,只有有权限的才能加载 sourcemap
    yuzo555
        4
    yuzo555  
       2020-05-12 20:42:29 +08:00
    一般用户按 F12 才会加载 sourcemap,一个非程序员面向的网站,正常用户很少按 F12 的。
    serenader
        5
    serenader  
       2020-05-12 20:48:19 +08:00 via iPhone
    稍微有点安全意识的都知道生产环境不能开启 sourcemap,否则就是安全事故了。无论应用规模大小,这都是应该关掉的。

    除此之外,开发阶段用 console.log 输出的内容也应该屏蔽掉。
    locoz
        6
    locoz  
       2020-05-12 20:52:51 +08:00 via Android
    如果只是单纯的业务代码,主要部分都是后端返回的,那其实无所谓。
    但是如果是一些像反爬之类的安全领域的东西还提供 source map 的话,那前端做的所有安全措施就都是无效的了,跟裸奔差不多。
    loading
        7
    loading  
       2020-05-12 22:04:28 +08:00 via Android
    前端代码就算混淆也是不安全的,放 sourcemap 我感觉没什么,顶多只是降低了门槛。
    love
        8
    love  
       2020-05-12 22:37:20 +08:00
    对一般公司感觉也没啥,我以前呆的公司连 JS 混淆都没做的
    weixiangzhe
        9
    weixiangzhe  
       2020-05-13 08:22:59 +08:00 via Android
    可以在服务器上配置 sourcemap 只在公司内网可见
    rf99wSiT6IxH1Z23
        10
    rf99wSiT6IxH1Z23  
       2020-12-09 17:50:09 +08:00
    关掉吧
    joebnb
        11
    joebnb  
       133 天前
    I'd say no, there's no security risk to shipping source maps to production. If a person thinks that code obfuscation is a reliable form of security then they already have a problem.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1493 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 17:18 · PVG 01:18 · LAX 09:18 · JFK 12:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.