这是一个创建于 2063 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天看到一个大家都知道的网站开着 sourcemap,我的认识中这么做好像不太恰当。
鉴于我也不知道这属不属于严重的问题,就不说是谁了。
 | 1 SilentDepth 2020-05-12 20:18:52 +08:00 不能算严重的问题。提供 Sourcemap 相当于暴露了一部分源码。如果业务的核心资产就在 JS 那理论上确实不该提供 Sourcemap,但啥产品非得考虑到这种程度啊……另外 Sourcemap 的体积通常挺大的,用户浏览器可能会自动加载,这样可能会造成额外的带宽压力。 提供 Sourcemap 的好处是生产出了问题方便调试。 |
 | 2 ochatokori 2020-05-12 20:19:49 +08:00 via Android 也不是十分严重? 想看你代码的你挡不住,不想看你给他也没用。 |
 | 3 randyo 2020-05-12 20:39:41 +08:00 via Android 没啥严重的,主要方便调试。如果不想别人看到源码,就关了了,或者设权限,只有有权限的才能加载 sourcemap |
 | 4 yuzo555 2020-05-12 20:42:29 +08:00 一般用户按 F12 才会加载 sourcemap,一个非程序员面向的网站,正常用户很少按 F12 的。 |
 | 5 serenader 2020-05-12 20:48:19 +08:00 via iPhone 稍微有点安全意识的都知道生产环境不能开启 sourcemap,否则就是安全事故了。无论应用规模大小,这都是应该关掉的。 除此之外,开发阶段用 console.log 输出的内容也应该屏蔽掉。 |
 | 6 locoz 2020-05-12 20:52:51 +08:00 via Android 如果只是单纯的业务代码,主要部分都是后端返回的,那其实无所谓。 但是如果是一些像反爬之类的安全领域的东西还提供 source map 的话,那前端做的所有安全措施就都是无效的了,跟裸奔差不多。 |
 | 7 loading 2020-05-12 22:04:28 +08:00 via Android 前端代码就算混淆也是不安全的,放 sourcemap 我感觉没什么,顶多只是降低了门槛。 |
 | 8 love 2020-05-12 22:37:20 +08:00 对一般公司感觉也没啥,我以前呆的公司连 JS 混淆都没做的 |
 | 9 weixiangzhe 2020-05-13 08:22:59 +08:00 via Android 可以在服务器上配置 sourcemap 只在公司内网可见 |
 | 10 rf99wSiT6IxH1Z23 2020-12-09 17:50:09 +08:00 关掉吧 |
 | 11 joebnb 2024-07-16 10:23:42 +08:00 I'd say no, there's no security risk to shipping source maps to production. If a person thinks that code obfuscation is a reliable form of security then they already have a problem. |
Select Language