我正在使用错误跟踪软件报告网络浏览器中发生的任何错误,但我的生产网站上的代码已缩小。因此,几乎不可能进行调试(变量名称会发生变化等)。
我想在生产中放入一个完整的源映射文件,以便我可以调试这些错误,但在这样做时听到了一些关于隐私/安全性的担忧。由于缩小的JavaScript可以在没有源映射的情况下进行非小型化和逆向工程,我想知道这是否是一个合理的问题。我只能看到它会让这个过程更快。
将源地图放入公共域是否存在合法的安全问题?
答案 0 :(得分:3)
与其他人所说的相反,它有一个安全方面。
你是对的,因为可以在没有源地图的情况下分析(取消缩小等)源。如你所知,它永远不会100%安全。但是,安全性与能力和努力以及来自这些的风险有关。这是关于你的威胁模型和攻击者模型。
现实世界的攻击者通常没有无限的资源,但对您的软件知之甚少。因此,严格来说,没有源地图的混淆Javascript代码在技术上等同于实际源代码,因为无论如何都可以在客户端上运行时进行检查,在现实世界中,所需的工作量,技能和资源存在显着差异。此
因此,虽然我并不是默默无闻地提倡安全性,但我坚信你的代码应该对有源代码的攻击者是安全的,但事实并非总是如此,会有漏洞,并且如果源地图可用,那么攻击者将更容易发现这些。
答案 1 :(得分:0)
唯一的问题是让某人更容易欺骗您的代码。除此之外没有安全问题。