应该将aws-exports.js暴露给客户端/ aws-exports.js的安全风险

时间:2018-07-02 20:47:08

标签: reactjs amazon-web-services single-page-application amazon-cognito aws-mobilehub

使用aws mobilehub进行反应应用程序,主要用于身份验证。我已经在多个地方看到为项目配置sdk的文件aws-exports.js文件不应包含在源代码管理中。

为什么它不应该在源代码管理中?我明白了,因为我们需要不同的版本,所以应该对其进行动态更新。.但是,客户端能够看到它是否存在任何安全风险?

在检查器中,我们可以在检查器中看到aws-exports.js文件的信息,而我只是想确保我们没有受到任何安全风险,例如,如果有人仔细阅读我们的文件可以看到我们的“ aws_cognito_identity_pool_id”或“ aws-region”或类似的内容。

此外,旁注-我们最终将有一个生产版本,因此必定会有一些缩影,以至于混淆了信息,但只想对最佳做法和潜在漏洞进行澄清。

谢谢!

1 个答案:

答案 0 :(得分:1)

我认为这与安全性无关,因为该文件最终将通过设计被访问。这是因为文件是动态生成的。

  

aws-exports.js文件是标准的JavaScript文件,由AWS Mobile Hub代表您维护。当您在AWS Mobile Hub中添加,删除或编辑功能时,它会更改。

     

// WARNING: DO NOT EDIT. This file is Auto-Generated by AWS Mobile Hub. It will be overwritten.

     

https://aws.amazon.com/blogs/mobile/integrate-the-aws-sdk-for-javascript-into-a-react-app/

感觉这种做法的动机是防止无意中使用了错误的文件,并避免了对版本控制的干扰和烦恼,从而避免了跟踪但不一定要跟踪的文件。