Если aws-exports.js будет открыт для клиентской стороны / Риск безопасности для aws-exports.js

Question

Использование aws mobilehub для нашего реагирующего приложения, в основном для аутентификации. В нескольких местах я видел, что файл, который настраивает sdk для проекта, файл aws-exports.js, не должен быть включен в систему контроля версий.

Почему он не должен быть в системе контроля версий? Я понимаю, что, поскольку нам нужны разные версии, оно должно динамически обновляться ... но существует ли риск для безопасности, чтобы клиент мог его увидеть?

В инспекторе мы можем видеть информацию о файле aws-exports.js в инспекторе, и я просто хочу убедиться, что мы не подвержены какой-либо угрозе безопасности, если, например, кто-то просматривает наши файлы, может видеть наш "aws_cognito_identity_pool_id" или "aws-region" или что-то в этом роде.

Кроме того, примечание: в конечном итоге у нас будет производственная сборка, так что будет некоторая минификация, которая непонятно запутает информацию, но мы просто хотим получить некоторые разъяснения о передовых методах и потенциальных уязвимостях.

Спасибо!

Answer 1

Я не думаю, что речь идет о безопасности, потому что файл в конечном итоге станет доступным, по замыслу. Это потому, что файл генерируется динамически.

Файл aws-exports.js - это стандартный файл JavaScript, который поддерживается AWS Mobile Hub от вашего имени. Он изменяется при добавлении, удалении или редактировании функций в AWS Mobile Hub.

// WARNING: DO NOT EDIT. This file is Auto-Generated by AWS Mobile Hub. It will be overwritten.

https://aws.amazon.com/blogs/mobile/integrate-the-aws-sdk-for-javascript-into-a-react-app/

Такое чувство, что мотивация этой практики состоит в том, чтобы предотвратить непреднамеренное использование неправильного файла и избежать вмешательства контроля версий и раздражения от наличия файла, который отслеживается, но не должен быть.