Upgrade to Pro — share decks privately, control downloads, hide ads and more …

「Reactはビルド時にコメントが消えるから」と言ってコメントに💩を書いてはいけない

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for Ryusei Ishikawa Ryusei Ishikawa
August 06, 2022
Technology
1.5k
0

 「Reactはビルド時にコメントが消えるから」と言ってコメントに💩を書いてはいけない

NUTMEGさん主催LT会で発表した内容です

Avatar for Ryusei Ishikawa

Ryusei Ishikawa

August 06, 2022

More Decks by Ryusei Ishikawa

See All by Ryusei Ishikawa
“それなりに”安全なWebアプリケーションの作り方
Avatar for Ryusei Ishikawa xryuseix
0
630
DIVER OSINT CTF を支える技術 2025
Avatar for Ryusei Ishikawa xryuseix
0
160
OSINT CTFの リアル作問環境を体験してみよう!
Avatar for Ryusei Ishikawa xryuseix
0
360
OSINT CTFを支える技術
Avatar for Ryusei Ishikawa xryuseix
1
1.2k
HTTP通信を書きかえてみよう
Avatar for Ryusei Ishikawa xryuseix
0
89
Webアプリケーションのユーザ入力検証
Avatar for Ryusei Ishikawa xryuseix
3
1.3k
Privateリポジトリで 管理しているソースコードを 無料でGitHub Pagesに公開する
Avatar for Ryusei Ishikawa xryuseix
0
5k
CTFにおけるOSINT問題作問の難しさ
Avatar for Ryusei Ishikawa xryuseix
0
840

Other Decks in Technology

See All in Technology
Terraformモジュールは、なぜ「魔境」化するのか
Avatar for hayama hayama17
1
130
海外カンファレンス「JavaOne」参加レポート ユーザー系IT企業における目的・成果/JavaOne Report Purpose and Results in the User IT Company
Avatar for 三菱UFJインフォメーションテクノロジー株式会社 muit
0
120
製造業のクラウド活用最適解〜AI,DXを加速するデータ基盤の作り方〜
Avatar for 濱田孝治 hamadakoji
0
150
Databricks 月刊サービスアップデート 2026年05月号
Avatar for ちょし tyosi1212
0
130
Spring AI × MCP 入門〜AIエージェントへのツール公開、境界設計から始める最小構成 〜
Avatar for 宮本裕也 yuyamiyamoto
0
190
GoとSIMDとWasmの今。
Avatar for asuka askua
2
410
A Harness for Behaviour: how to get AI to generate code that does what we intend, or "TDD in the age of AI"
Avatar for Matteo Vaccari xpmatteo
1
530
形式手法特論:公平性制約の位相的特徴づけ #kernelvm / Kernel VM Study Kansai 12th
Avatar for y_taka_23 ytaka23
1
660
大学生が本気でDatabricksを活用してDiscordサークルをデータ駆動させてみた
Avatar for Kazuki Date phantomjuju
1
310
JJUG CCC 2026 Spring AI時代の開発こそ標準化を武器に! ― 方式・プロセス・プラットフォームの標準化
Avatar for WatanabeShun s27watanabe
2
650
【Gen-AX】20260530開催_JJUG CCC 2026 Spring
Avatar for Gen-AX株式会社 genax
0
200
AI時代の私の技術インプットとアウトプット術
Avatar for tonkotsuboy_com tonkotsuboy_com
15
8.1k

Featured

See All Featured
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
Avatar for Christian Goodrich cargoodrich
3
720
Build your cross-platform service in a week with App Engine
Avatar for Jose L jlugia
234
18k
Beyond borders and beyond the search box: How to win the global "messy middle" with AI-driven SEO
Avatar for David Carrasco davidcarrasco
3
150
Navigating Team Friction
Avatar for Lara Hogan lara
192
16k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
88
5.1k
How to Build an AI Search Optimization Roadmap - Criteria and Steps to Take #SEOIRL
Avatar for Aleyda Solis aleyda
1
2.1k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
4.3k
What the history of the web can teach us about the future of AI
Avatar for Ines Montani inesmontani
PRO
1
600
Ruling the World: When Life Gets Gamed
Avatar for Sebastian Deterding codingconduct
0
240
Music & Morning Musume
Avatar for Bryan Veloso bryan
47
7.2k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
21
1.5k
How To Speak Unicorn (iThemes Webinar)
Avatar for Michelle Schulp Hunt marktimemedia
1
470

Transcript

  1. 「Reactはビルド時にコメントが消えるから」 と⾔ってコメントに 💩 を書いてはいけない ⽴命館⼤学 RiST xryuseix

  2. • create-react-app でアプリを作成し、react-scripts build で普通にビルドします • すると図のようなディレクトリ構成になります <Reactのビルド />

  3. • react-scripts build でビルドしたJSファイルは💩コードになっています • ファイルサイズを減らして⾼速化が期待できます ◦ 少しだけ難読化の効果もあります <Minify />

    こういうJSの変換をMinify処理と呼んだりします

  4. 👴「Minify処理後のファイルでエラーが起きたらデバッグが難しくなるじゃろ💢」 <Sourcemap /> 👶「いいえ、Minifyの復元情報がソースコード内に含まれています(デフォルトでは) 」 ビルド前のソースコード ブラウザのコンソール 開発者ツール (1).toFIxed(-1)は⼩数点以下の有効数字を-1桁で”1”を⼩数表記⽂字列にするプログラムです

  5. <Sourcemap /> ビルド後のファイル sourcemapファイル *.mapファイルがソースマップファイルと呼ばれる その復元ファイルです 昔どこかのCTFでsoucemapファイルを解析する問題が出てた記憶がありますが、僕は⼈間なので読めません

  6. そろそろお察しかと思いますが...... <💩復活の儀式 /> 👈 消えません 💪 💩

  7. そろそろお察しかと思いますが...... <💩復活の儀式 /> 👈 消えません(2) 💪 💩

  8. そろそろお察しかと思いますが...... <💩復活の儀式 /> 👈 消えません(3) 💪 💩

  9. • 綺麗なソースコードが漏れる • アノテーションコメントが読まれる <💩が復活して何がまずい︖ /> アノテーションコメントってこれのこと https://qiita.com/taka-kawa/items/673716d77795c937d422 攻撃者にとって 脆弱性を発⾒しやすくなる

    そりゃ // FIXME: ここ不具合あるから後で直す // XXX: 動くけどなぜか良くわからない とか書いてあったら集中して調査するでしょ

  10. <💩を封印するにはどうしたらいい︖ /> 結論: 本番環境にソースマップを置かなければ良い 1. GENERATE_SOURCEMAP=false を設定する a. ビルドコマンドを GENERATE_SOURCEMAP=false

    react-scripts build にする b. .envファイルに記述する 2. or ビルド前に rm build/**/*.map を実⾏する

  11. 1. Reactの通常ビルドではソースマップファイルが含まれるよ 2. ソースマップファイルがあるとソースコードが復元されるよ 3. 本番環境にはソースマップファイルを置かないようにしよう <まとめ /> ご清聴ありがとうございました✨ ※今⽇のスライドはこのスライドをリスペクトしています

    『テスト⽂字列に「うんこ」と⼊れるな』 https://www.slideshare.net/ketaiorg/ss-250149770