使用aws mobilehub进行反应应用程序,主要用于身份验证。我已经在多个地方看到为项目配置sdk的文件aws-exports.js文件不应包含在源代码管理中。
为什么它不应该在源代码管理中?我明白了,因为我们需要不同的版本,所以应该对其进行动态更新。.但是,客户端能够看到它是否存在任何安全风险?
在检查器中,我们可以在检查器中看到aws-exports.js文件的信息,而我只是想确保我们没有受到任何安全风险,例如,如果有人仔细阅读我们的文件可以看到我们的“ aws_cognito_identity_pool_id”或“ aws-region”或类似的内容。
此外,旁注-我们最终将有一个生产版本,因此必定会有一些缩影,以至于混淆了信息,但只想对最佳做法和潜在漏洞进行澄清。
谢谢!
答案 0 :(得分:1)
我认为这与安全性无关,因为该文件最终将通过设计被访问。这是因为文件是动态生成的。
aws-exports.js
文件是标准的JavaScript文件,由AWS Mobile Hub代表您维护。当您在AWS Mobile Hub中添加,删除或编辑功能时,它会更改。
// WARNING: DO NOT EDIT. This file is Auto-Generated by AWS Mobile Hub. It will be overwritten.
https://aws.amazon.com/blogs/mobile/integrate-the-aws-sdk-for-javascript-into-a-react-app/
感觉这种做法的动机是防止无意中使用了错误的文件,并避免了对版本控制的干扰和烦恼,从而避免了跟踪但不一定要跟踪的文件。