Sourcemap安全问题

时间:2024-03-26 19:00:15

背景

目前前端部署的代码一般都是经过webpack压缩的,压缩的目的一般如下:

  • 移除无用代码
  • 混淆代码中变量名称、函数名称等
  • 对结构进行扁平化处理

Sourcemap作用

SourceMap在其中扮演了一个十分重要的角色,用来作为源代码和编译代码之间的映射,方便开发定位问题。
一般在压缩 js 的过程中,会生成相应的 sourcemap 文件,并且在压缩的 js 文件末尾追加 sourcemap 文件的链接 ,如://# sourceMappingURL=xxxx.js.map。这样,浏览器在加载这个压缩 过的js 时,就知道还有一个相应的 sourcemap 文件,也会一起加载下来,运行的过程中如果 js 报错,也会给出相应源代码的行号与列号,而非压缩文件的。

  • 未加 sourcemap 文件时的报错信息:
    Sourcemap安全问题
  • 加 了sourcemap 文件的报错信息是:
    Sourcemap安全问题

Sourcemap带来的安全问题

其实Sourcemap初衷是方便开发排错,但是不应该用在生产环境,如果用在生产环境,就可以通过sourcemap文件中的映射,还原出前端完整代码。

  1. 首先安装reverse-sourcemap:
    Sourcemap安全问题2. 之后通过命令reverse-sourcemap -v 1.js.map -o code还原前端代码,发现报错,看报错原因就知道又是换行符的问题:
    PS:由于历史原因,Linux下换行符为\n,Windows下换行符为\r\n,因此如果Linux下文件行尾以\r\n结尾,原本属于换行符的\r也被认为是文件正常内容的一部分,从而导致出错。
    Sourcemap安全问题
  2. 使用which命令看下reverse-sourcemap的具体路径,再使用vi /usr/local/bin/reverse-sourcemap命令,vi打开后,输入:set ff查看文件格式果然为dos格式:
    Sourcemap安全问题
  3. vi中输入::set ff=unix,将文件格式转为unix格式,之后保存退出,输入reverse-sourcemap -v 1.js.map -o code将代码还原:
    Sourcemap安全问题