公开 JavaScript 源映射是否存在合法的安全问题？

Question

我正在使用错误跟踪软件报告 Web 浏览器中发生的任何错误，但我的生产站点上的代码已被缩小。因此，调试几乎是不可能的（变量名称被更改等）。

我想将完整的源映射文件投入生产，这样我就可以调试这些错误，但听到了一些关于这样做的隐私/安全性的担忧。由于缩小的 JavaScript 可以在没有源映射的情况下进行非缩小和逆向工程，我想知道这是否是一个合理的问题。我所能看到的是，它只会让这个过程更快。

将源地图放入公共领域是否存在合法的安全问题？

Answer 1

与其他人所说的相反，它有一个安全方面。

您是对的，因为也可以在没有源映射的情况下分析（取消缩小等）源。如您所知，它永远不会是 100% 安全的。但是，安全性与能力和努力以及由此带来的风险有关。这与您的威胁模型和攻击者模型有关。

现实世界的攻击者通常没有无限的资源，但对您的软件了解有限。因此，虽然严格来说，没有源映射的混淆 Javascript 代码在技术上等同于实际源代码，因为无论如何它都可以在客户端上运行时进行检查，但在现实世界中，需要的工作量、技能和资源存在显着差异这个。

因此，虽然我完全不提倡通过默默无闻来确保安全，并且我坚信您的代码应该能够抵御拥有源代码的攻击者，但现实中并非总是如此，存在漏洞，并且如果源映射可用，攻击者将更容易发现它们。

Answer 2

唯一担心的是让别人更容易欺骗您的代码。除此之外没有安全问题。