Upgrade to Pro — share decks privately, control downloads, hide ads and more …

「Reactはビルド時にコメントが消えるから」と言ってコメントに💩を書いてはいけない

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for Ryusei Ishikawa Ryusei Ishikawa
August 06, 2022
Technology
0
1.4k

 「Reactはビルド時にコメントが消えるから」と言ってコメントに💩を書いてはいけない

NUTMEGさん主催LT会で発表した内容です

Avatar for Ryusei Ishikawa

Ryusei Ishikawa

August 06, 2022
Tweet

More Decks by Ryusei Ishikawa

See All by Ryusei Ishikawa
“それなりに”安全なWebアプリケーションの作り方
Avatar for Ryusei Ishikawa xryuseix
0
540
DIVER OSINT CTF を支える技術 2025
Avatar for Ryusei Ishikawa xryuseix
0
110
OSINT CTFの リアル作問環境を体験してみよう!
Avatar for Ryusei Ishikawa xryuseix
0
290
OSINT CTFを支える技術
Avatar for Ryusei Ishikawa xryuseix
1
900
HTTP通信を書きかえてみよう
Avatar for Ryusei Ishikawa xryuseix
0
79
Webアプリケーションのユーザ入力検証
Avatar for Ryusei Ishikawa xryuseix
3
1.3k
Privateリポジトリで 管理しているソースコードを 無料でGitHub Pagesに公開する
Avatar for Ryusei Ishikawa xryuseix
0
4.2k
CTFにおけるOSINT問題作問の難しさ
Avatar for Ryusei Ishikawa xryuseix
0
800

Other Decks in Technology

See All in Technology
インフラエンジニア必見!Kubernetesを用いたクラウドネイティブ設計ポイント大全
Avatar for 高棹大樹 daitak
1
390
Claude_CodeでSEOを最適化する_AI_Ops_Community_Vol.2__マーケティングx_AIはここまで進化した.pdf
Avatar for 小笠原理久 riku_423
2
610
AzureでのIaC - Bicep? Terraform? それ早く言ってよ会議
Avatar for Toru Makabe torumakabe
1
620
AIエージェントに必要なのはデータではなく文脈だった/ai-agent-context-graph-mybest
Avatar for Jun Naito jonnojun
1
250
【Ubie】AIを活用した広告アセット「爆速」生成事例 | AI_Ops_Community_Vol.2
Avatar for Yoshiki yoshiki_0316
1
120
10Xにおける品質保証活動の全体像と改善 #no_more_wait_for_test
Avatar for nihonbuson nihonbuson
PRO
2
340
量子クラウドサービスの裏側 〜Deep Dive into OQTOPUS〜
Avatar for OQTOPUS oqtopus
0
150
Webhook best practices for rock solid and resilient deployments
Avatar for Guillaume Laforge glaforge
2
310
M&A 後の統合をどう進めるか ─ ナレッジワーク × Poetics が実践した組織とシステムの融合
Avatar for KNOWLEDGE WORK / 株式会社ナレッジワーク kworkdev
PRO
1
520
会社紹介資料 / Sansan Company Profile
Avatar for Sansan, Inc. sansan33
PRO
15
400k
22nd ACRi Webinar - ChipTip Technology Eric-san's slide
Avatar for Nao Sumikawa nao_sumikawa
0
100
~Everything as Codeを諦めない~ 後からCDK
Avatar for mu7889yoon / Yuta Nakamura mu7889yoon
3
520

Featured

See All Featured
The Organizational Zoo: Understanding Human Behavior Agility Through Metaphoric Constructive Conversations (based on the works of Arthur Shelley, Ph.D)
Avatar for Dr. Kim W Petersen kimpetersen
PRO
0
240
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
80
6.2k
Leo the Paperboy
Avatar for Maya Tellez mayatellez
4
1.4k
Building an army of robots
Avatar for Kyle Neath kneath
306
46k
The agentic SEO stack - context over prompts
Avatar for schlessera schlessera
0
650
Navigating Weather and Climate Data
Avatar for Ryan Abernathey rabernat
0
110
The Impact of AI in SEO - AI Overviews June 2024 Edition
Avatar for Aleyda Solis aleyda
5
740
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
39
3k
Between Models and Reality
Avatar for mayunak mayunak
1
200
Heart Work Chapter 1 - Part 1
Avatar for Lake Fama lfama
PRO
5
35k
Primal Persuasion: How to Engage the Brain for Learning That Lasts
Avatar for Mike Taylor tmiket
0
260
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
6k

Transcript

  1. 「Reactはビルド時にコメントが消えるから」 と⾔ってコメントに 💩 を書いてはいけない ⽴命館⼤学 RiST xryuseix

  2. • create-react-app でアプリを作成し、react-scripts build で普通にビルドします • すると図のようなディレクトリ構成になります <Reactのビルド />

  3. • react-scripts build でビルドしたJSファイルは💩コードになっています • ファイルサイズを減らして⾼速化が期待できます ◦ 少しだけ難読化の効果もあります <Minify />

    こういうJSの変換をMinify処理と呼んだりします

  4. 👴「Minify処理後のファイルでエラーが起きたらデバッグが難しくなるじゃろ💢」 <Sourcemap /> 👶「いいえ、Minifyの復元情報がソースコード内に含まれています(デフォルトでは) 」 ビルド前のソースコード ブラウザのコンソール 開発者ツール (1).toFIxed(-1)は⼩数点以下の有効数字を-1桁で”1”を⼩数表記⽂字列にするプログラムです

  5. <Sourcemap /> ビルド後のファイル sourcemapファイル *.mapファイルがソースマップファイルと呼ばれる その復元ファイルです 昔どこかのCTFでsoucemapファイルを解析する問題が出てた記憶がありますが、僕は⼈間なので読めません

  6. そろそろお察しかと思いますが...... <💩復活の儀式 /> 👈 消えません 💪 💩

  7. そろそろお察しかと思いますが...... <💩復活の儀式 /> 👈 消えません(2) 💪 💩

  8. そろそろお察しかと思いますが...... <💩復活の儀式 /> 👈 消えません(3) 💪 💩

  9. • 綺麗なソースコードが漏れる • アノテーションコメントが読まれる <💩が復活して何がまずい︖ /> アノテーションコメントってこれのこと https://qiita.com/taka-kawa/items/673716d77795c937d422 攻撃者にとって 脆弱性を発⾒しやすくなる

    そりゃ // FIXME: ここ不具合あるから後で直す // XXX: 動くけどなぜか良くわからない とか書いてあったら集中して調査するでしょ

  10. <💩を封印するにはどうしたらいい︖ /> 結論: 本番環境にソースマップを置かなければ良い 1. GENERATE_SOURCEMAP=false を設定する a. ビルドコマンドを GENERATE_SOURCEMAP=false

    react-scripts build にする b. .envファイルに記述する 2. or ビルド前に rm build/**/*.map を実⾏する

  11. 1. Reactの通常ビルドではソースマップファイルが含まれるよ 2. ソースマップファイルがあるとソースコードが復元されるよ 3. 本番環境にはソースマップファイルを置かないようにしよう <まとめ /> ご清聴ありがとうございました✨ ※今⽇のスライドはこのスライドをリスペクトしています

    『テスト⽂字列に「うんこ」と⼊れるな』 https://www.slideshare.net/ketaiorg/ss-250149770