今天看到一个大家都知道的网站开着 sourcemap,我的认识中这么做好像不太恰当。
鉴于我也不知道这属不属于严重的问题,就不说是谁了。
This topic created in 2198 days ago, the information mentioned may be changed or developed.
 |
1
SilentDepth May 12, 2020
不能算严重的问题。提供 Sourcemap 相当于暴露了一部分源码。如果业务的核心资产就在 JS 那理论上确实不该提供 Sourcemap,但啥产品非得考虑到这种程度啊……另外 Sourcemap 的体积通常挺大的,用户浏览器可能会自动加载,这样可能会造成额外的带宽压力。
提供 Sourcemap 的好处是生产出了问题方便调试。 |
 |
2
ochatokori May 12, 2020 via Android
也不是十分严重?
想看你代码的你挡不住,不想看你给他也没用。 |
 |
3
randyo May 12, 2020 via Android
没啥严重的,主要方便调试。如果不想别人看到源码,就关了了,或者设权限,只有有权限的才能加载 sourcemap
|
 |
4
yuzo555 May 12, 2020
一般用户按 F12 才会加载 sourcemap,一个非程序员面向的网站,正常用户很少按 F12 的。
|
 |
5
serenader May 12, 2020 via iPhone
稍微有点安全意识的都知道生产环境不能开启 sourcemap,否则就是安全事故了。无论应用规模大小,这都是应该关掉的。
除此之外,开发阶段用 console.log 输出的内容也应该屏蔽掉。 |
 |
6
locoz May 12, 2020 via Android
如果只是单纯的业务代码,主要部分都是后端返回的,那其实无所谓。
但是如果是一些像反爬之类的安全领域的东西还提供 source map 的话,那前端做的所有安全措施就都是无效的了,跟裸奔差不多。 |
 |
7
loading May 12, 2020 via Android
前端代码就算混淆也是不安全的,放 sourcemap 我感觉没什么,顶多只是降低了门槛。
|
 |
8
love May 12, 2020
对一般公司感觉也没啥,我以前呆的公司连 JS 混淆都没做的
|
 |
9
weixiangzhe May 13, 2020 via Android
可以在服务器上配置 sourcemap 只在公司内网可见
|
 |
10
rf99wSiT6IxH1Z23 Dec 9, 2020
关掉吧
|
 |
11
joebnb Jul 16, 2024
I'd say no, there's no security risk to shipping source maps to production. If a person thinks that code obfuscation is a reliable form of security then they already have a problem.
|
Select Language