Javascript code 찾기
크롬브라우저에서 F12를 누르면 Developer Tools가 나오게 됩니다. 소스탭을 보면 손쉽게 웹사이트의 자바스크립트 코드를 찾을 수 있습니다. 웹사이트에 따라서 컴파일 되지않은 버전일수도 있고 컴파일된 버전일 수도있습니다.
자바스크립트 코드가 노출되는 것은 문제가 되지 않는다.
Javascript 파일에 프론트엔드관련 코드만 넣는다면 큰 문제가 되지 않습니다. 하지만 코드에 사용자의 민감정보나 비밀번호 같은게 들어가 있다면 큰 문제가 됩니다.
그럼 API는 어떨까요? API키로는 계정에 바로 접속할 수 없기 때문에 괜찮지만 여기서도 주의할점은 있습니다. API에 대한 엑세스를 백엔드에서 제어하지 않았다면 노출된 API키가 사용자의 데이터에 큰 영향을 줄 수 있습니다. 하지만 API 액세스에 대한 화이트리스트를 설정해두었다면 다른사람이 API를 훔치더라도 큰 가치는 없을것입니다.
코드에 들어가면 안되는 것은?
우리가 웹에서 DB 데이터에 바로 접근하지 않고 서버를 거쳐서 DB에 있는 데이터를 사용하는 이유를 생각해본다면됩니다. 권한이 제대로 설정되지 않은 API키, 사용자들의 정보, 민감한 기밀 정보 등이 노출된다면 프론트엔드에서 서버로 DB데이터를 요청하는게 무의미해질겁니다.
If I can do it, you can do it.