今天看到一个大家都知道的网站开着 sourcemap,我的认识中这么做好像不太恰当。
鉴于我也不知道这属不属于严重的问题,就不说是谁了。
1
SilentDepth 2020-05-12 20:18:52 +08:00
不能算严重的问题。提供 Sourcemap 相当于暴露了一部分源码。如果业务的核心资产就在 JS 那理论上确实不该提供 Sourcemap,但啥产品非得考虑到这种程度啊……另外 Sourcemap 的体积通常挺大的,用户浏览器可能会自动加载,这样可能会造成额外的带宽压力。
提供 Sourcemap 的好处是生产出了问题方便调试。 |
2
ochatokori 2020-05-12 20:19:49 +08:00 via Android
也不是十分严重?
想看你代码的你挡不住,不想看你给他也没用。 |
3
randyo 2020-05-12 20:39:41 +08:00 via Android
没啥严重的,主要方便调试。如果不想别人看到源码,就关了了,或者设权限,只有有权限的才能加载 sourcemap
|
4
yuzo555 2020-05-12 20:42:29 +08:00
一般用户按 F12 才会加载 sourcemap,一个非程序员面向的网站,正常用户很少按 F12 的。
|
5
serenader 2020-05-12 20:48:19 +08:00 via iPhone
稍微有点安全意识的都知道生产环境不能开启 sourcemap,否则就是安全事故了。无论应用规模大小,这都是应该关掉的。
除此之外,开发阶段用 console.log 输出的内容也应该屏蔽掉。 |
6
locoz 2020-05-12 20:52:51 +08:00 via Android
如果只是单纯的业务代码,主要部分都是后端返回的,那其实无所谓。
但是如果是一些像反爬之类的安全领域的东西还提供 source map 的话,那前端做的所有安全措施就都是无效的了,跟裸奔差不多。 |
7
loading 2020-05-12 22:04:28 +08:00 via Android
前端代码就算混淆也是不安全的,放 sourcemap 我感觉没什么,顶多只是降低了门槛。
|
8
love 2020-05-12 22:37:20 +08:00
对一般公司感觉也没啥,我以前呆的公司连 JS 混淆都没做的
|
9
weixiangzhe 2020-05-13 08:22:59 +08:00 via Android
可以在服务器上配置 sourcemap 只在公司内网可见
|
10
rf99wSiT6IxH1Z23 2020-12-09 17:50:09 +08:00
关掉吧
|
11
joebnb 133 天前
I'd say no, there's no security risk to shipping source maps to production. If a person thinks that code obfuscation is a reliable form of security then they already have a problem.
|