SourceMap安全性

最新推荐文章于 2024-07-11 08:57:45 发布
置顶 最新推荐文章于 2024-07-11 08:57:45 发布
阅读量5.9k 收藏
点赞数 1
分类专栏: 【渗透工具】 # 其他常用工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/99703218
版权

前言

由于现在构建工具盛行,前端部署的代码都是经过编译,压缩后的,所以SoueceMap就扮演了一个十分重要的角色,用来作为源代码和编译代码之间的映射,方便定位问题。

SourceMap关闭与开放问题

虽然map文件提供了便利,但是在生产环境,为了安全,是建议关闭SourceMap的,因为通过.map文件和编译后代码可以很容易反编译出项目的源码,这样就相当于泄露了项目的代码。下面做个测试:

首先全局安装reverse-sourcemap:

npm install --global reverse-sourcemap

使用以下命令将*.map格式的代码全部反编译回源码,并且输出在sourcecode文件夹中:

reverse-sourcemap  -v  *.map  -o  soucecode

笔者在这里也没有找到合适的实例,所以没法进行演示,如果后期找到的话再补充一下,反正对于前端来说Sourcemap还是不建议开启的。

FLy_鹏程万里
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
Webpack Sourcemap文件泄露漏洞
天天学安全专属博客
09-12 2804
Webpack Sourcemap文件泄露漏洞
Sourcemap安全问题
m0_67392273的博客
08-24 341
一般在压缩 js 的过程中,会生成相应的 sourcemap 文件,并且在压缩的 js 文件末尾追加 sourcemap 文件的链接 ,如://# sourceMappingURL=xxxx.js.map。这样,浏览器在加载这个压缩 过的js 时,就知道还有一个相应的 sourcemap 文件,也会一起加载下来,运行的过程中如果 js 报错,也会给出相应源代码的行号与列号,而非压缩文件的。SourceMap在其中扮演了一个十分重要的角色,用来作为源代码和编译代码之间的映射,方便开发定位问题。
【每天认识一个漏洞】sourcemap文件泄露漏洞
最新发布
weixin_54750312的博客
07-11 280
F12控制台输入sms()如果存在会有提示,然后打开看能够下载下来,能下载下来的话,用nodejs进行反编译,然后可以分析里面接口挖别的漏洞,或者直接提交。油猴脚本sourcemap-searcher或burp hae插件。
前端安全问题记录
zcy_csdn123的博客
12-27 2077
1、浏览器中可以看到源码问题 可以在coonfig中配置productionSourceMap:false 2、cookie设置问题 由后端设置,此时浏览器里查看 HTTPOnly 会出现对号 这样无法用JS获取cookie
SourceMap 文件泄露漏洞
11-15 356
百度一下很多方案,待都说是confing/index.js 文件里配置 productionSourceMap: false;应该在vue.config.js里配置。但实际vue工程没有这个文件,
sourcemap-stack
05-17
如果map文件放到跟js同目录下,一起发布到cdn上,处于安全考虑,可以使用对称性加密map文件,加密包使用,如果没有加密,这项不填 desc js error 的堆栈信息 API getStackByError 根据错误的stack error信息,提取出...
jQuery3.3.1包含压缩前后以及Source Map
04-27
同时,版本更新也意味着可能修复了已知的安全漏洞,确保了代码的稳定性和安全性。 总的来说,这个压缩包提供了一个完整的jQuery 3.3.1环境,无论是在开发还是部署阶段,都能满足需求。未压缩的源文件便于理解和调试...
sourcemap2.zip
08-19
综上所述,"sourcemap2.zip"文件中的小程序项目展示了微信小程序开发的基本流程,从接口调用到用户界面设计,再到上线后的搜索可见性,涵盖了多个技术领域。对于想要学习微信小程序开发或者使用百度地图API的人来说...
浅谈webpack devtool里的7种SourceMap模式
10-17
而生产环境可能更倾向于使用source-map或hidden-source-map来确保SourceMap文件的安全性和不暴露给最终用户。 此外,Webpack还支持将这些模式的关键字组合起来,如cheap-module-inline-source-map,这种组合模式会...
MapSource软件
06-24
MapSource是一款由Garmin公司开发的专业GPS数据管理软件,它...综上所述,MapSource软件是GPS数据管理的重要工具,其强大的功能使得用户能够在电脑上便捷地处理与GPS相关的各种任务,从而提高户外活动的效率和安全性
sourcemapper:从Sourcemap文件中提取JavaScript源树
05-05
源映射器 Sourcemapper有点golang来解析由webpack或类似工具生成的源映射,并吐出原始JavaScript文件,然后基于源映射中的文件路径重新创建源树。 可以在此处找到说明其目的的文章: : 用法 :~$ ./sourcemapper Usage of ./sourcemapper: -header value A header to send with the request, similar to curl's -H. Can be set multiple times, EG: "./sourcemapper --header "Cookie: session=bar" --header "Authorization: blerp" -help Show help -insecure Ignore invalid T
web开发常见安全漏洞解决办法
08-15
SQL注入漏洞 跨站脚本攻击漏洞 IIS短文件/文件夹漏洞 系统敏感信息泄露
sourcemap文件泄露漏洞
qq_50854662的博客
04-12 4693
sourcemap文件泄露漏洞
细说 js 压缩、sourcemap、通过 sourcemap 查找原始报错信息
weixin_33896726的博客
11-12 1852
细说 js 压缩、sourcemap、通过 sourcemap 查找原始报错信息 1. js 压缩 js 压缩对前端开发者来说是一门必修课。 一般来说,压缩 js 主要出于以下两个目的: 减小代码体积,加快前端资源加载速度 保护源代码不被别人获取 压缩 js 使用的工具库: UglifyJS2: 压缩 es5 uglify-e...
【漏洞挖掘】sourcemap、webpck源码泄露漏洞_sourcemap 文件泄露漏洞
2401_84688608的博客
05-12 738
上述知识点,囊括了目前互联网企业的主流应用技术以及能让你成为“香饽饽”的高级架构知识,每个笔记里面几乎都带有实战内容。打个比方,假如你正在学习 spring 注解,突然发现了一个注解@Aspect,不知道干什么用的,你可能会去查看源码或者通过博客学习,花了半小时终于弄懂了,下次又看到@Aspect 了,你有点郁闷了,上次好像在哪哪哪学习,你快速打开网页花了五分钟又学会了。从半小时和五分钟的对比中可以发现多学一次就离真正掌握知识又近了一步。
2024年最全寒假学习第11天--中间件漏洞--vulhub--thinkphp全系列,2024年最新vue总结来了
2401_84545016的博客
05-05 1035
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。注意上面的第一个index是模块,第二个index是方法,name是操作名,后面的是操作。
禁用 source map 功能。
04-27
禁用 source map 功能可以提高代码安全性,不会泄露代码的源代码位置和结构,同时也可以提高代码的性能。在大多数现代浏览器中,可以在开发者工具的设置中禁用 source map 功能。在 Chrome 浏览器中,可以在设置 -> 更多工具 -> 开发者工具 -> 设置 -> 通用中找到 "禁用 JavaScript 源映射" 选项,勾选该选项即可禁用 source map 功能。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值