sourcemap 代码泄露漏洞

最新推荐文章于 2024-04-25 12:50:07 发布
最新推荐文章于 2024-04-25 12:50:07 发布
阅读量1.4k 收藏
点赞数
分类专栏: Security 文章标签: vue.js 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/quandaquan/article/details/132413737
版权

啥是source map

Sourcemap 本质上是一个信息文件,里面储存着代码转换前后的对应位置信息。 它记录了转换压缩后的代码所对应的转换前的源代码位置,是源代码和生产代码的映射。

source map漏洞呢?

使用reverse-sourcemap工具,利用该文件还原源代码,这样就造成了信息泄露,保不齐源码里有什么敏感信息。。。。

如何修复

发布版本就不要生成source map文件了。。。。

临时的解决方法就是删除代码目录下的.map文件

Source maps should not be accesible for an attacker. Do not expose sourcemaps to the Internet and make dev tools load them from the developer’s machine instead.

disable 生成source map的功能

process.env.GENERATE_SOURCEMAP = 'false';

for Vue  set in vue.config.js

productionSourceMap: false

犬大犬小
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JavaScript Source Map.epub
11-24
“简单说,Source map就是一个信息文件,里面储存着位置信息。也就是说,转换后的代码的每一个位置,所对应的转换前的位置。 有了它,出错的时候,除错工具将直接显示原始代码,而不是转换后的代码。这无疑给...
web开发常见安全漏洞解决办法
08-15
SQL注入漏洞 跨站脚本攻击漏洞 IIS短文件/文件漏洞 系统敏感信息泄露
挖洞思路:前端源码泄露漏洞并用source map文件还原
热门推荐
白帽子九一
04-18 1万+
一、找到含.map的js页面 进入到一个*.js的页面查看源码: 选一个点进去拉到最下面: 后缀加上.map访问https://xxx.js.map 会直接下载app.91c9e19843b6a38f9ff5.js.map 二、source map文件还原 reverse-sourcemap 这个工具,两年前发布的,居然文件和目录都能全部还原出来,牛逼。 全局安装 npm install --global reverse-sourcemap 然后( -o 后面跟的是还原后的目录) reverse-so
SourceMap 文件泄露漏洞
11-15 232
百度一下很多方案,待都说是confing/index.js 文件里配置 productionSourceMap: false;应该在vue.config.js里配置。但实际vue工程没有这个文件
sourceinsight代码阅读编辑工具
06-29
sourceinsight代码阅读编辑工具
sourcemapper:从Sourcemap文件中提取JavaScript源树
05-05
源映射器 Sourcemapper有点golang来解析由webpack或类似工具生成的源映射,并吐出原始JavaScript文件,然后基于源映射中的文件路径重新创建源树。 可以在此处找到说明其目的的文章: : 用法 :~$ ./sourcemapper Usage of ./sourcemapper: -header value A header to send with the request, similar to curl's -H. Can be set multiple times, EG: "./sourcemapper --header "Cookie: session=bar" --header "Authorization: blerp" -help Show help -insecure Ignore invalid T
sourcemap文件泄露漏洞
qq_50854662的博客
04-12 3624
sourcemap文件泄露漏洞
漏洞挖掘】sourcemap、webpck源码泄露漏洞
tyty2211的博客
11-20 3305
访问官网,下载安装包,然后一路next即可安装包会自动添加环境变量确认是否安装成功npm -v。
记一次Vue源码泄露
weixin_44820552的博客
03-30 5130
Vue使用webpack(静态资源打包器)的时候,如果未进行正确配置,会产生一个js.map文件,而这个js.map可以通过工具来反编译还原Vue源代码,产生代码泄露
Webpack Sourcemap文件泄露漏洞
天天学安全专属博客
09-12 2253
Webpack Sourcemap文件泄露漏洞
SourceCount代码统计工具
06-12
SourceCount代码统计工具,可以统计出代码行数。方便实用,无需注册。 SourceCount代码行数统计工具
SourceCounter代码统计工具
04-11
代码统计工具
vue 实现级联选择器功能
清音的博客
04-22 509
数组包含了级联选择器的数据源,其中每个对象表示一个选项,包括。组件来实现级联选择器功能,下面是一个示例代码,演示如何使用。组件初始化级联选择器,并设置默认值为单位。对象用于指定数据结构中的属性名,以便。上,可以在初始化时选中指定的值。使用 Element UI 的。中设置初始选中值为单位。组件正确地解析数据。
19篇 vue3进阶
hummhumm的专栏
04-20 413
10. **组件定义的分离**:通过 `defineComponent` 方法分离组件逻辑与模板。23. **事件总线 (`provide` / `inject`)**:祖先与后代组件间通信。33. **跨平台支持**:如 `Nativescript-Vue` 或 `Uni-app`。9. **动态组件和 `v-if` / `v-for`**:更灵活地使用这些指令。20. **计算属性 (`computed`)**:创建缓存的计算属性。12. **组件的 `expose` 选项**:显式指定组件公开属性。
vue-manage-system 更新,后台管理系统开发更简单
林鑫
04-22 404
近期进行了一次版本升级,主要是支持了更多功能、升级依赖版本和优化样式,并且上线了网站,大部分功能都有文档或者使用示例,更加适合新手上手开发,只需要根据实际业务简单修改,就可以完成产品需求。
vue3【详解】 vue3 比 vue2 快的原因
朝阳39的博客
04-19 940
vue3使用的 Proxy 在处理属性的读取和写入时,比vue2使用的defineProperty 有更好的性能(速度加倍的同时,内存还能减半!
vue+element 树形结构 改成懒加载模式(原理element有),这里只做个人理解笔记
最新发布
xu_duo_i的博客
04-25 251
vue+element 树形结构 改成懒加载模式(原理element有),这里只做个人理解笔记
vue 如何调用子组件内的方法
u010609022的专栏
04-19 324
需要注意的是,子组件的方法只能在子组件被创建并挂载到DOM之后才能被调用。所以在父组件中调用子组件的方法时,需要保证子组件已经被创建并且已经挂载到DOM中。在Vue中,子组件的方法可以通过父组件的该子组件的引用来调用。获取到子组件的引用,然后使用。来调用子组件的方法。
vite sourcemap 设置
09-19
Vite是一种现代化的前端构建工具。在进行项目开发时,我们通常都会对代码进行打包和压缩以提高性能。然而,在出现错误时,压缩后的代码可能会导致调试困难。这就是为什么Vite支持sourcemap设置的原因。 sourcemap是一种映射关系,它可以将压缩过的代码映射回原始的、未压缩的代码。通过使用sourcemap,我们可以在浏览器开发者工具中准确地显示出错的位置和源代码,从而更轻松地进行调试和定位bug。 在Vite中,我们可以通过设置sourcemap来指定生成sourcemap文件的类型。Vite支持三种sourcemap类型:inline、eval、和external。它们分别表示将sourcemap嵌入到源代码中、使用eval函数生成sourcemap、或者生成单独的sourcemap文件。 使用Vite设置sourcemap非常简单。只需要在vite.config.js配置文件中添加相关配置即可。例如,我们可以在vite.config.js中加入以下设置来启用sourcemap: ``` export default { build: { sourcemap: true } } ``` 这样一来,在构建项目时,Vite将会自动生成相应的sourcemap文件。我们可以在开发者工具中查看具体的错误位置和源码,以方便进行调试。 总的来说,通过Vite的sourcemap设置,我们可以轻松地进行前端项目的调试和bug定位,提高开发效率,减少出错的时间和精力消耗。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值