我担心,通过省略,包含数据库密码或会话密钥等秘密的模块可以包含在WebPack或Browserify包中。
即使我不直接导入这些模块,我也可能不小心从客户端入口点模块中间接导入间接。
有没有办法将这些文件列入黑名单,以便这些捆绑包拒绝捆绑它们?尽可能愿意遵循可避免此类问题的最佳实践,但拥有这样一个安全网会很好。
答案 0 :(得分:3)
通过loaders导入文件时,您可以选择通过include和exclude属性将目录列入黑名单或列入白名单。这些可以是RegEx或绝对路径。
以下内容可防止任何JavaScript文件包含在./secret目录中的包中。
var path = require('path');
module.exports = {
// Configuration omitted for brevity
module :{
loaders : [
{
test: /\.js$/,
loader: "script",
exclude : path.resolve(__dirname, './secret') // Exclude secret directory
},
{
test: /\.css$/,
loader: "style!css"
}
]
}
};
如果您想阻止./secret目录中的文件被意外导入,并且只允许包含src的文件,则可以执行以下操作。
var path = require('path');
var blackList = [ path.resolve(__dirname, './secret') ];
var whiteList = [ /src/ ]; // Allow only directories containing "src"
var config = {
...
/// Webpack configuration
};
// Apply whitelisting and blacklisting for all loaders
config.module.loaders.forEach(function(loader)
{
loader['exclude'] = [...(loader['exclude'] || []), ...blackList];
loader['include'] = [...(loader['include'] || []), ...whiteList];
});
module.exports = config;
这个例子有点复杂,但它应该让你知道如何执行它。简而言之,循环通过您的加载器并根据需要添加其他包含/排除。
如果你的代码库中确实存在机密数据,我建议为文件名提供一个类型。例如,如果您的文件名为sqlconnections.js,我会将其重命名为sqlconnections.confidential.js。然后我会向我的加载器添加{strong>排除 RegEx模式/\.confidential\.js$/。这创建了一个可以在代码库中重用的约定。