27
我正在使用UglifyJS來縮小和醜化我的來源。生產中的源文件映射文件 - 安全嗎?
我使用getsentry來報告我的生產環境中的錯誤。
爲了從getsentry得到錯誤,以可讀的方式,我需要添加源地圖
它是安全的這樣做在生產服務器,或源地圖文件應該只在臨時環境存在?
有沒有辦法在生產環境中保護它們?
Thankes
A
回答
8
您的主要關注將是「是確定的,如果用戶有我的源代碼?」通常這很好,因爲用戶可以反正混淆東西。
也就是說,如果你使用Sentry,你實際上可以使用releases API來避免這個問題。您仍然需要生成工件,並設置URL(或API可以處理的內容),但是您不必將它們公開給Internet。
27
尋找一個可能的解決方案,這一點,如果有人沒有特別使用哨兵,我得到了這個博客帖子(諷刺的是一個哨兵博客文章):
https://blog.sentry.io/2015/10/29/debuggable-javascript-with-source-maps.html
哪裏有一個有趣的想法:「私人來源地圖」。這意味着在某些無法從互聯網訪問的地方(例如貴公司的VPN)生成源地圖,因此只有您或您的團隊才能訪問源地圖文件。
後的「私人資源地圖」一節中引用:
[...]我們所有的例子都假定你的源地圖是公開的,併爲您執行JavaScript從同一臺服務器提供服務碼。在這種情況下,任何開發人員都可以使用它們來獲取原始源代碼。
爲了防止出現這種情況,您可以替代提供可公開訪問的sourceMappingURL,而是從僅供開發團隊訪問的服務器提供源映射。例如,只能從公司的VPN訪問的服務器。
//#sourceMappingURL:http://company.intranet/app/static/app.min.js.map
當非團隊成員訪問與開發者工具打開應用程序,他們會嘗試下載該源圖卻得到了一個404(或403)HTTP錯誤,和源地圖不會被應用。
對我來說這似乎是個好主意!
相關問題
- 1. Mysql dump:複製生產中的MYI文件是安全的嗎?
- 2. Wicket:資源URL映射(文件系統)
- 3. TortoiseSVN重映射源文件夾
- 4. 源安全子文件夾
- 5. ProGuard不會生成映射文件
- 6. 在C++應用程序中安全地生成內存映射文件
- 7. 映射文件中的Hibernate'Inverse'
- 8. 訪問生產中的SharedPreferences文件是否安全?
- 9. 如何從DispatchServlet映射文件夾(資源文件夾)
- 10. 已添加嵌入式資源映射文件 - 類未映射
- 11. 內存映射文件 - 映射結構而不是文件?
- 12. 映射MARC文件
- 13. Maven映射文件
- 14. Android資產文件夾的安全性
- 15. 我需要映射文件嗎?
- 16. 從POJOS生成Hibernate映射文件(* .hbm.xml)?
- 17. 從休眠映射文件生成DDL
- 18. 使用nhibernate映射文件生成
- 19. Fluent配置不生成映射文件
- 20. 從休眠映射文件生成類
- 21. 文本文件映射
- 22. 管理生產上的資源文件
- 23. 文件系統 - 內存映射文件
- 24. DBContext Generator可以從edmx文件生成映射嗎?
- 25. Nhibernate可以自動從數據庫生成映射文件嗎?
- 26. 的nHibernate映射文件
- 27. 如何將共享點映射的資源文件夾映射到VS 2010中的app_globalResources文件夾?
- 28. SharePoint映射的文件夾錯誤
- 29. 沒有文件擴展名的頁面資源安全嗎?
- 30. 重命名/映射Cygwin文件夾
我不確定你的意思是「安全」。是否有可能在源地圖中編碼的敏感細節?代碼具有相同的安全性,無論它是否被醜化。 – 2014-12-07 17:33:43
這是真的,但我更喜歡源代碼不會被輕易查看,實際上我更喜歡只有getsentry,才能使用源代碼貼圖,我知道它沒有增加任何真正的安全性,但仍然是我希望我的來源,apis和內部邏輯對普通用戶是隱藏的...... – 2014-12-07 19:08:17
正常用戶通常不會挖掘源代碼,而那些想要深入挖掘源代碼以便以某種方式利用您的人不會受到混淆。 – 2014-12-07 21:29:27