aws-exports.js 是否应该暴露在客户端/aws-exports.js 的安全风险
Should the aws-exports.js be exposed client side / Security risk of aws-exports.js
将aws mobilehub 用于我们的react 应用程序,主要用于身份验证。我在多个地方看到,为项目配置 sdk 的文件 aws-exports.js 文件不应包含在源代码管理中。
为什么它不应该在源代码管理中?我明白了,因为我们需要不同的版本,所以应该动态更新它。但是客户端能够看到它是否存在任何安全风险?
在检查器中,我们可以在检查器中看到 aws-exports.js 文件的信息,我只是想确保我们不会面临任何安全风险,例如,有人在阅读我们的文件可以看到我们的 "aws_cognito_identity_pool_id" 或 "aws-region" 或类似的东西。
此外,旁注 - 我们最终将有一个生产版本,因此会有一些缩小,我肯定会混淆信息,但只想对最佳实践和潜在漏洞进行一些澄清。
谢谢!
我认为这与安全无关,因为根据设计,文件最终将可以访问。因为文件是动态生成的。
The aws-exports.js file is a standard JavaScript file that is maintained by AWS Mobile Hub on your behalf. It changes when you add, remove, or edit features within AWS Mobile Hub.
// WARNING: DO NOT EDIT. This file is Auto-Generated by AWS Mobile Hub. It will be overwritten.
https://aws.amazon.com/blogs/mobile/integrate-the-aws-sdk-for-javascript-into-a-react-app/
感觉这种做法背后的动机是为了防止无意中使用错误的文件,并避免版本控制干扰和因跟踪但不需要的文件而产生的烦恼。
将aws mobilehub 用于我们的react 应用程序,主要用于身份验证。我在多个地方看到,为项目配置 sdk 的文件 aws-exports.js 文件不应包含在源代码管理中。
为什么它不应该在源代码管理中?我明白了,因为我们需要不同的版本,所以应该动态更新它。但是客户端能够看到它是否存在任何安全风险?
在检查器中,我们可以在检查器中看到 aws-exports.js 文件的信息,我只是想确保我们不会面临任何安全风险,例如,有人在阅读我们的文件可以看到我们的 "aws_cognito_identity_pool_id" 或 "aws-region" 或类似的东西。
此外,旁注 - 我们最终将有一个生产版本,因此会有一些缩小,我肯定会混淆信息,但只想对最佳实践和潜在漏洞进行一些澄清。
谢谢!
我认为这与安全无关,因为根据设计,文件最终将可以访问。因为文件是动态生成的。
The
aws-exports.jsfile is a standard JavaScript file that is maintained by AWS Mobile Hub on your behalf. It changes when you add, remove, or edit features within AWS Mobile Hub.
// WARNING: DO NOT EDIT. This file is Auto-Generated by AWS Mobile Hub. It will be overwritten.https://aws.amazon.com/blogs/mobile/integrate-the-aws-sdk-for-javascript-into-a-react-app/
感觉这种做法背后的动机是为了防止无意中使用错误的文件,并避免版本控制干扰和因跟踪但不需要的文件而产生的烦恼。