Upgrade to Pro — share decks privately, control downloads, hide ads and more …

「Reactはビルド時にコメントが消えるから」と言ってコメントに💩を書いてはいけない

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Ryusei Ishikawa Ryusei Ishikawa
August 06, 2022
Technology
0
1.5k

 「Reactはビルド時にコメントが消えるから」と言ってコメントに💩を書いてはいけない

NUTMEGさん主催LT会で発表した内容です

Avatar for Ryusei Ishikawa

Ryusei Ishikawa

August 06, 2022
Tweet

More Decks by Ryusei Ishikawa

See All by Ryusei Ishikawa
“それなりに”安全なWebアプリケーションの作り方
Avatar for Ryusei Ishikawa xryuseix
0
570
DIVER OSINT CTF を支える技術 2025
Avatar for Ryusei Ishikawa xryuseix
0
110
OSINT CTFの リアル作問環境を体験してみよう!
Avatar for Ryusei Ishikawa xryuseix
0
300
OSINT CTFを支える技術
Avatar for Ryusei Ishikawa xryuseix
1
920
HTTP通信を書きかえてみよう
Avatar for Ryusei Ishikawa xryuseix
0
83
Webアプリケーションのユーザ入力検証
Avatar for Ryusei Ishikawa xryuseix
3
1.3k
Privateリポジトリで 管理しているソースコードを 無料でGitHub Pagesに公開する
Avatar for Ryusei Ishikawa xryuseix
0
4.4k
CTFにおけるOSINT問題作問の難しさ
Avatar for Ryusei Ishikawa xryuseix
0
810

Other Decks in Technology

See All in Technology
DevOpsエージェントで実現する!! AWS Well-Architected(W-A) を実現するシステム設計 / 20260307 Masaki Okuda
Avatar for SHIFT EVOLVE shift_evolve
PRO
3
870
JAWS Days 2026 楽しく学ぼう! 認証認可 入門/20260307-jaws-days-novice-lane-auth
Avatar for opelab opelab
11
2.3k
2026-03-11 JAWS-UG 茨城 #12 改めてALBを便利に使う
Avatar for SUZUKI Masashi masasuzu
2
390
マルチアカウント環境でSecurity Hubの運用!導入の苦労とポイント / JAWS DAYS 2026
Avatar for GENDA genda
0
770
Yahoo!ショッピングのレコメンデーション・システムにおけるML実践の一例 
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
1
210
(Test) ai-meetup slide creation
Avatar for Oikon oikon48
3
420
スクリプトの先へ!AIエージェントと組み合わせる モバイルE2Eテスト
Avatar for Ryo WATANABE error96num
0
180
[JAWSDAYS2026]Who is responsible for IAM
Avatar for Mizuki TSUJI mizukibbb
0
750
Claude Code のコード品質がばらつくので AI に品質保証させる仕組みを作った話 / A story about building a mechanism to have AI ensure quality, because the code quality from Claude Code was inconsistent
Avatar for nrs nrslib
13
8.4k
Keycloak を使った SSO で CockroachDB にログインする / CockroachDB SSO with Keycloak
Avatar for kota2and3kan kota2and3kan
0
140
猫でもわかるKiro CLI(AI 駆動開発への道編)
Avatar for Hiroo Katoh kentapapa
0
220
Tebiki Engineering Team Deck
Avatar for Tebiki, Inc. tebiki
0
27k

Featured

See All Featured
Jess Joyce - The Pitfalls of Following Frameworks
Avatar for Tech SEO Connect techseoconnect
PRO
1
110
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
50
14k
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
51
52k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
37
6.3k
The Hidden Cost of Media on the Web [PixelPalooza 2025]
Avatar for Tammy Everts tammyeverts
2
250
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
Avatar for Tomoya Matsuura tomoyanonymous
2
550
Bioeconomy Workshop: Dr. Julius Ecuru, Opportunities for a Bioeconomy in West Africa
Avatar for AKADEMIYA2063 akademiya2063
PRO
1
71
The Impact of AI in SEO - AI Overviews June 2024 Edition
Avatar for Aleyda Solis aleyda
5
770
It's Worth the Effort
Avatar for 3n 3n
188
29k
Designing for humans not robots
Avatar for Tammie Lister tammielis
254
26k
Google's AI Overviews - The New Search
Avatar for Barry Adams badams
0
930
Breaking role norms: Why Content Design is so much more than writing copy - Taylor Woolridge
Avatar for UX Y'all uxyall
0
210

Transcript

  1. 「Reactはビルド時にコメントが消えるから」 と⾔ってコメントに 💩 を書いてはいけない ⽴命館⼤学 RiST xryuseix

  2. • create-react-app でアプリを作成し、react-scripts build で普通にビルドします • すると図のようなディレクトリ構成になります <Reactのビルド />

  3. • react-scripts build でビルドしたJSファイルは💩コードになっています • ファイルサイズを減らして⾼速化が期待できます ◦ 少しだけ難読化の効果もあります <Minify />

    こういうJSの変換をMinify処理と呼んだりします

  4. 👴「Minify処理後のファイルでエラーが起きたらデバッグが難しくなるじゃろ💢」 <Sourcemap /> 👶「いいえ、Minifyの復元情報がソースコード内に含まれています(デフォルトでは) 」 ビルド前のソースコード ブラウザのコンソール 開発者ツール (1).toFIxed(-1)は⼩数点以下の有効数字を-1桁で”1”を⼩数表記⽂字列にするプログラムです

  5. <Sourcemap /> ビルド後のファイル sourcemapファイル *.mapファイルがソースマップファイルと呼ばれる その復元ファイルです 昔どこかのCTFでsoucemapファイルを解析する問題が出てた記憶がありますが、僕は⼈間なので読めません

  6. そろそろお察しかと思いますが...... <💩復活の儀式 /> 👈 消えません 💪 💩

  7. そろそろお察しかと思いますが...... <💩復活の儀式 /> 👈 消えません(2) 💪 💩

  8. そろそろお察しかと思いますが...... <💩復活の儀式 /> 👈 消えません(3) 💪 💩

  9. • 綺麗なソースコードが漏れる • アノテーションコメントが読まれる <💩が復活して何がまずい︖ /> アノテーションコメントってこれのこと https://qiita.com/taka-kawa/items/673716d77795c937d422 攻撃者にとって 脆弱性を発⾒しやすくなる

    そりゃ // FIXME: ここ不具合あるから後で直す // XXX: 動くけどなぜか良くわからない とか書いてあったら集中して調査するでしょ

  10. <💩を封印するにはどうしたらいい︖ /> 結論: 本番環境にソースマップを置かなければ良い 1. GENERATE_SOURCEMAP=false を設定する a. ビルドコマンドを GENERATE_SOURCEMAP=false

    react-scripts build にする b. .envファイルに記述する 2. or ビルド前に rm build/**/*.map を実⾏する

  11. 1. Reactの通常ビルドではソースマップファイルが含まれるよ 2. ソースマップファイルがあるとソースコードが復元されるよ 3. 本番環境にはソースマップファイルを置かないようにしよう <まとめ /> ご清聴ありがとうございました✨ ※今⽇のスライドはこのスライドをリスペクトしています

    『テスト⽂字列に「うんこ」と⼊れるな』 https://www.slideshare.net/ketaiorg/ss-250149770