Пожалуйста, удалите этот console.log

Вести журнал переменных и объектов очень удобно. При разработке приложения вы можете использовать его для изучения полученных данных и корректного отображения информации или запуска дальнейшей обработки.

В чем проблема с console.log?

Можно сказать, что скрипты на стороне клиента уже доступны в браузере, например, путем копания в js-коде. Кроме того, если в итоге вы раскрываете конфиденциальную информацию, возможно, вся архитектура несовершенна, и, поскольку данные не должны передаваться, это не ваша ответственность.

Тем не менее, вы можете обойти логику и безопасность контроллера (например, при обработке бэкенда), раскрыв конфиденциальные данные, и вы не можете слепо полагаться на другие уровни.

Надежная система может стать уязвимой во время неправильно рассчитанной операции (например, переноса сервера) или любых других изменений в кодовой базе.

С другой стороны, если на этапе стагнации или в предпроизводственной среде собирается конфиденциальная информация, например, для анализа кода или любых других отчетов, это может стать незаконным. По крайней мере, это может противоречить условиям использования и политике конфиденциальности…

Как избежать несчастливых случаев

Обычно это такие ситуации, когда компания говорит:

Этого не должно было случиться. Мы не могли предвидеть такой каскад плохих событий.

Хотя предусмотреть все невозможно, приложение безопасно до тех пор, пока безопасны все уровни. «Маловероятно» не означает «невозможно».

Вот несколько практических способов повысить безопасность:

  • удалять js-логи вручную: см. этот пост, чтобы ускорить работу
  • добавить пользовательскую обертку для всех console.error, console.warning, console.table, console.log и т.д., и использовать некоторую переменную окружения для включения/выключения вашего помощника
  • использовать пакет NPM для автоматического удаления журналов при сборке
  • использовать пользовательскую библиотеку
  • использовать внутренний отладчик браузера (например, Chrome dev tools).

Завершение работы

Оставлять console.log или любые другие варианты в продакшене не является ни актуальным для конечных пользователей, ни на 100% безопасным. Не вызывайте излишнего любопытства.

Хакеры любят нежелательные разоблачения. Пожалуйста, удалите их.

Оцените статью
Procodings.ru
Добавить комментарий