Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
「Reactはビルド時にコメントが消えるから」と言ってコメントに💩を書いてはいけない
Search
Ryusei Ishikawa
August 06, 2022
Technology
0
1.4k
「Reactはビルド時にコメントが消えるから」と言ってコメントに💩を書いてはいけない
NUTMEGさん主催LT会で発表した内容です
Ryusei Ishikawa
August 06, 2022
Tweet
Share
More Decks by Ryusei Ishikawa
See All by Ryusei Ishikawa
“それなりに”安全なWebアプリケーションの作り方
xryuseix
0
500
DIVER OSINT CTF を支える技術 2025
xryuseix
0
100
OSINT CTFの リアル作問環境を体験してみよう!
xryuseix
0
270
OSINT CTFを支える技術
xryuseix
1
860
HTTP通信を書きかえてみよう
xryuseix
0
76
Webアプリケーションのユーザ入力検証
xryuseix
3
1.3k
Privateリポジトリで 管理しているソースコードを 無料でGitHub Pagesに公開する
xryuseix
0
3.8k
CTFにおけるOSINT問題作問の難しさ
xryuseix
0
790
Other Decks in Technology
See All in Technology
Kiro を用いたペアプロのススメ
taikis
4
2.1k
モダンデータスタックの理想と現実の間で~1.3億人Vポイントデータ基盤の現在地とこれから~
taromatsui_cccmkhd
2
290
2025年のデザインシステムとAI 活用を振り返る
leveragestech
0
610
コールドスタンバイ構成でCDは可能か
hiramax
0
130
Redshift認可、アップデートでどう変わった?
handy
1
120
AI with TiDD
shiraji
1
330
Entity Framework Core におけるIN句クエリ最適化について
htkym
0
140
「リリースファースト」の実感を届けるには 〜停滞するチームに変化を起こすアプローチ〜 #RSGT2026
kintotechdev
0
260
20251222_サンフランシスコサバイバル術
ponponmikankan
2
160
Everything As Code
yosuke_ai
0
460
通勤手当申請チェックエージェント開発のリアル
whisaiyo
3
640
Oracle Database@Google Cloud:サービス概要のご紹介
oracle4engineer
PRO
1
810
Featured
See All Featured
Impact Scores and Hybrid Strategies: The future of link building
tamaranovitovic
0
180
Building a A Zero-Code AI SEO Workflow
portentint
PRO
0
210
<Decoding/> the Language of Devs - We Love SEO 2024
nikkihalliwell
1
100
Making the Leap to Tech Lead
cromwellryan
135
9.7k
Building AI with AI
inesmontani
PRO
1
600
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
aleyda
2
9.2k
How People are Using Generative and Agentic AI to Supercharge Their Products, Projects, Services and Value Streams Today
helenjbeal
1
89
Technical Leadership for Architectural Decision Making
baasie
0
200
Redefining SEO in the New Era of Traffic Generation
szymonslowik
1
180
Into the Great Unknown - MozCon
thekraken
40
2.2k
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
sarafernandez
1
1.3k
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
szymonslowik
1
860
Transcript
「Reactはビルド時にコメントが消えるから」 と⾔ってコメントに 💩 を書いてはいけない ⽴命館⼤学 RiST xryuseix
• create-react-app でアプリを作成し、react-scripts build で普通にビルドします • すると図のようなディレクトリ構成になります <Reactのビルド />
• react-scripts build でビルドしたJSファイルは💩コードになっています • ファイルサイズを減らして⾼速化が期待できます ◦ 少しだけ難読化の効果もあります <Minify />
こういうJSの変換をMinify処理と呼んだりします
👴「Minify処理後のファイルでエラーが起きたらデバッグが難しくなるじゃろ💢」 <Sourcemap /> 👶「いいえ、Minifyの復元情報がソースコード内に含まれています(デフォルトでは) 」 ビルド前のソースコード ブラウザのコンソール 開発者ツール (1).toFIxed(-1)は⼩数点以下の有効数字を-1桁で”1”を⼩数表記⽂字列にするプログラムです
<Sourcemap /> ビルド後のファイル sourcemapファイル *.mapファイルがソースマップファイルと呼ばれる その復元ファイルです 昔どこかのCTFでsoucemapファイルを解析する問題が出てた記憶がありますが、僕は⼈間なので読めません
そろそろお察しかと思いますが...... <💩復活の儀式 /> 👈 消えません 💪 💩
そろそろお察しかと思いますが...... <💩復活の儀式 /> 👈 消えません(2) 💪 💩
そろそろお察しかと思いますが...... <💩復活の儀式 /> 👈 消えません(3) 💪 💩
• 綺麗なソースコードが漏れる • アノテーションコメントが読まれる <💩が復活して何がまずい︖ /> アノテーションコメントってこれのこと https://qiita.com/taka-kawa/items/673716d77795c937d422 攻撃者にとって 脆弱性を発⾒しやすくなる
そりゃ // FIXME: ここ不具合あるから後で直す // XXX: 動くけどなぜか良くわからない とか書いてあったら集中して調査するでしょ
<💩を封印するにはどうしたらいい︖ /> 結論: 本番環境にソースマップを置かなければ良い 1. GENERATE_SOURCEMAP=false を設定する a. ビルドコマンドを GENERATE_SOURCEMAP=false
react-scripts build にする b. .envファイルに記述する 2. or ビルド前に rm build/**/*.map を実⾏する
1. Reactの通常ビルドではソースマップファイルが含まれるよ 2. ソースマップファイルがあるとソースコードが復元されるよ 3. 本番環境にはソースマップファイルを置かないようにしよう <まとめ /> ご清聴ありがとうございました✨ ※今⽇のスライドはこのスライドをリスペクトしています
『テスト⽂字列に「うんこ」と⼊れるな』 https://www.slideshare.net/ketaiorg/ss-250149770
xryuseix
taikis
taromatsui_cccmkhd
leveragestech
hiramax
handy
shiraji
htkym
kintotechdev
ponponmikankan
yosuke_ai
whisaiyo
oracle4engineer
tamaranovitovic
portentint
nikkihalliwell
cromwellryan
inesmontani
aleyda
.png){kind=avatar}
helenjbeal
baasie
szymonslowik
thekraken
sarafernandez
