如何防止机密数据包含在WebPack包中

时间:2016-08-02 18:08:44

标签: webpack configuration-files secret-key

我担心,通过省略,包含数据库密码或会话密钥等秘密的模块可以包含在WebPack或Browserify包中。

即使我不直接导入这些模块,我也可能不小心从客户端入口点模块中间接导入间接

有没有办法将这些文件列入黑名单,以便这些捆绑包拒绝捆绑它们?尽可能愿意遵循可避免此类问题的最佳实践,但拥有这样一个安全网会很好。

1 个答案:

答案 0 :(得分:3)

通过loaders导入文件时,您可以选择通过includeexclude属性将目录列入黑名单或列入白名单。这些可以是RegEx或绝对路径。

一个简单的例子

以下内容可防止任何JavaScript文件包含在./secret目录中的包中。

 var path = require('path');
        module.exports = {
          // Configuration omitted for brevity
          module :{
            loaders : [
                { 
                  test: /\.js$/, 
                  loader: "script",
                  exclude : path.resolve(__dirname, './secret')  // Exclude secret directory
                },
                { 
                  test: /\.css$/, 
                  loader: "style!css" 
                }
            ]
          }
        };

为所有装载程序应用过滤器的复杂示例

如果您想阻止./secret目录中的文件被意外导入,并且只允许包含src的文件,则可以执行以下操作。

var path = require('path');
var blackList = [ path.resolve(__dirname, './secret') ];
var whiteList = [ /src/ ]; // Allow only directories containing "src"

var config = { 
...
/// Webpack configuration
};

// Apply whitelisting and blacklisting for all loaders
config.module.loaders.forEach(function(loader)
{
   loader['exclude'] = [...(loader['exclude'] || []), ...blackList];
   loader['include'] = [...(loader['include'] || []), ...whiteList];
});

module.exports = config;

这个例子有点复杂,但它应该让你知道如何执行它。简而言之,循环通过您的加载器并根据需要添加其他包含/排除。

奖励:为您的秘密数据提供类型

如果你的代码库中确实存在机密数据,我建议为文件名提供一个类型。例如,如果您的文件名为sqlconnections.js,我会将其重命名为sqlconnections.confidential.js。然后我会向我的加载器添加{strong>排除 RegEx模式/\.confidential\.js$/。这创建了一个可以在代码库中重用的约定。