Sourcemap安全问题

最新推荐文章于 2024-07-11 08:57:45 发布
最新推荐文章于 2024-07-11 08:57:45 发布
阅读量373 收藏
点赞数
分类专栏: java 文章标签: webpack 前端 javascript java 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67392273/article/details/126496551
版权

背景

目前前端部署的代码一般都是经过webpack压缩的,压缩的目的一般如下:

  • 移除无用代码
  • 混淆代码中变量名称、函数名称等
  • 对结构进行扁平化处理

Sourcemap作用

SourceMap在其中扮演了一个十分重要的角色,用来作为源代码和编译代码之间的映射,方便开发定位问题。
一般在压缩 js 的过程中,会生成相应的 sourcemap 文件,并且在压缩的 js 文件末尾追加 sourcemap 文件的链接 ,如://# sourceMappingURL=xxxx.js.map。这样,浏览器在加载这个压缩 过的js 时,就知道还有一个相应的 sourcemap 文件,也会一起加载下来,运行的过程中如果 js 报错,也会给出相应源代码的行号与列号,而非压缩文件的。

  • 未加 sourcemap 文件时的报错信息:
    在这里插入图片描述
  • 加 了sourcemap 文件的报错信息是:
    在这里插入图片描述

Sourcemap带来的安全问题

其实Sourcemap初衷是方便开发排错,但是不应该用在生产环境,如果用在生产环境,就可以通过sourcemap文件中的映射,还原出前端完整代码。

  1. 首先安装reverse-sourcemap:
    在这里插入图片描述2. 之后通过命令reverse-sourcemap -v 1.js.map -o code还原前端代码,发现报错,看报错原因就知道又是换行符的问题:
    PS:由于历史原因,Linux下换行符为 ,Windows下换行符为 ,因此如果Linux下文件行尾以 结尾,原本属于换行符的 也被认为是文件正常内容的一部分,从而导致出错。
    在这里插入图片描述
  2. 使用which命令看下reverse-sourcemap的具体路径,再使用vi /usr/local/bin/reverse-sourcemap命令,vi打开后,输入:set ff查看文件格式果然为dos格式:
    在这里插入图片描述
  3. vi中输入::set ff=unix,将文件格式转为unix格式,之后保存退出,输入reverse-sourcemap -v 1.js.map -o code将代码还原:
    在这里插入图片描述
m0_67392273
关注
专栏目录
细说 js 压缩、sourcemap、通过 sourcemap 查找原始报错信息
weixin_33896726的博客
11-12 1887
细说 js 压缩、sourcemap、通过 sourcemap 查找原始报错信息 1. js 压缩 js 压缩对前端开发者来说是一门必修课。 一般来说,压缩 js 主要出于以下两个目的: 减小代码体积,加快前端资源加载速度 保护源代码不被别人获取 压缩 js 使用的工具库: UglifyJS2: 压缩 es5 uglify-e...
Source Map前端监控中的应用和实践
爱奇艺技术产品团队
10-15 356
‍‍‍‍Web前端开发中,对于生产环境的代码通常会进行压缩和混淆处理,以减小代码体积并提高源代码安全性。然而当生产环境有JS错误发生时,压缩和混淆的代码也让定位错误变得更困难。我们先来看一...
SourceMap安全
Fly_鹏程万里
08-18 6018
前言 由于现在构建工具盛行,前端部署的代码都是经过编译,压缩后的,所以SoueceMap就扮演了一个十分重要的角色,用来作为源代码和编译代码之间的映射,方便定位问题SourceMap关闭与开放问题 虽然map文件提供了便利,但是在生产环境,为了安全,是建议关闭SourceMap的,因为通过.map文件和编译后代码可以很容易反编译出项目的源码,这样就相当于泄露了项目的代码。下面做个测试...
前端安全问题记录
zcy_csdn123的博客
12-27 2118
1、浏览器中可以看到源码问题 可以在coonfig中配置productionSourceMap:false 2、cookie设置问题 由后端设置,此时浏览器里查看 HTTPOnly 会出现对号 这样无法用JS获取cookie
sourcemap文件泄露漏洞
qq_50854662的博客
04-12 5114
sourcemap文件泄露漏洞
sourcemap-stack
05-17
sourcemap-stack 参数定义 参数属性 说明 mapUrl sourcemap 地址链接,如果不填,表示sourcemap地址跟实际js路径一样 mapName 参考webpack的地址格式,比如:[name].[hash].js.map mapEncrypt 如果map文件放到跟js同...
jQuery3.3.1包含压缩前后以及Source Map
04-27
Source Map文件就是用来解决这个问题的,它记录了压缩代码与原始源代码的映射关系。当浏览器加载带有Source Map的压缩文件时,开发者工具能够将错误信息或断点映射回未压缩的源文件,从而在压缩代码上实现有效的调试...
sourcemap2.zip
08-19
【标题】"sourcemap2.zip"是一个包含微信小程序代码的压缩文件,该小程序名为“自制天气预报小程序”,已成功发布并可供用户在微信平台上通过搜索功能直接使用。这个项目利用了百度地图的API来获取和展示天气预报...
浅谈webpack devtool里的7种SourceMap模式
10-17
而生产环境可能更倾向于使用source-map或hidden-source-map来确保SourceMap文件的安全性和不暴露给最终用户。 此外,Webpack还支持将这些模式的关键字组合起来,如cheap-module-inline-source-map,这种组合模式会...
【每天认识一个漏洞】sourcemap文件泄露漏洞
菜鸟小羊的博客
07-11 539
F12控制台输入sms()如果存在会有提示,然后打开看能够下载下来,能下载下来的话,用nodejs进行反编译,然后可以分析里面接口挖别的漏洞,或者直接提交。油猴脚本sourcemap-searcher或burp hae插件。
生产环境通过SourceMap还原压缩后JavaScript错误,快速定位异常
GitChat
04-28 1083
(如果你对 source-map有了解,但是不知道具体怎么实现,操作,可以跳过前面的,直接看底部列列举的参考文章) 最近在处理上报的异常,写个系列,这个是开篇 大家都知道一般我们前端JavaScript代码上线前都会压缩,混淆处理,减小代码体积的同时还相对安全些,线上代码一般是这样的...
前端文件打包体积优化
liang526011569的博客
09-16 1756
一、去除生产环境sourceMap vue项目打包之后js文件夹中,会自动生成一些map文件,占用相当一部分空间 map文件的作用在于:项目打包后,代码都是经过压缩加密的,如果运行时报错,输出的错误信息无法准确得知是哪里的代码报错,有了map就可以像未加密的代码一样,准确的输出是哪一行哪一列有错。 生产环境是不需要sourceMap的,如下配置可以去除 module.exports = { //去除生产环境的productionSourceMap productionSourceMap:
去除.map文件
公z号:职场爱学习
06-18 3537
.map文件作用在于:项目打包后,代码都是经过压缩加密的,如果运行时报错,输出的错误信息无法准确得知是哪里的代码报错。而.map文件就可以像未加密的代码一样,准确的输出是哪一行哪一列有错。 去除掉的原因:打包过后.map文件过大,为了减轻项目的大小。 去除.map的好处是: (1)提升 build速度, (2)深度保护源码(不轻易被恶意盗取代码) –修改config/index.js文件,默认为true productionSourceMap: false ...
webpack build打包出的 map 文件有什么用,能不能删或者打包不生成map文件?
热门推荐
ruanhongbiao的专栏
08-16 1万+
打包后产生后缀名为.map的文件是由于配置了sourcemap选项生成的,打包后的文件不容易找到出bug对应的源代码的位置,sourcemap就是来帮我们解决这个问题的,有了map就可以像未压缩的代码一样,准确的输出是哪一行哪一列有错。具体配置可以查看官网devtool配置 或者其它的webpack sourcemap 选项多种模式的一些解释 如果想要打包后不生成.map文件要怎么配置呢? 去...
vite+vue3+ts 删除 编译typescript 的js、map文件
m0_55333789的博客
06-05 451
vite+vue3+ts 删除 编译typescript 的js、map文件
Source map 超详细学习攻略_番茄出品
lazy_tomato的博客
11-06 3089
简单来说 Source map 就是一个存储信息的文件,里面储存着位置信息。Source map 英文释义:源程序映射。转换后的代码对应的转换前的代码位置映射关系。有了 Source map,就算线上运行的是转换后的代码,调试工具中也可以直接显示转换前的代码。这极大的方便了我们开发者调试和排错。就以我们上述案例生成的为例,我们来了解一下,它的内容结构是怎样的。{// version:Source map 的版本,目前为 3。"version" : 3 , // file:转换后的文件名。
vue项目打包后使用reverse-sourcemap反编译到源码(详解版)
web全栈开发的博客
10-11 6318
truefalse当时:1、打包后能看到文件,;2、打包后会导致文件变大(因为多了很多map文件导致的);当时:1、打包后无法看到文件,所以无法进行反编译;2、打包后的文件很小(因为没有map文件);,打包后文件的大小2.8M,打包后文件的大小9.6M。
webpack sourceMap 没有成功
最新发布
09-25
检查webpack.config.js中的output.sourceMap属性设置。 ```javascript module.exports = { // ... output: { filename: '[name].[chunkhash].js', path: path.resolve(__dirname, 'dist'), sourceMap: true,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值