ms teams가 sourcemap에 대하는 자세

항상 sourcemap 관련해서 글을 쓰게 되는데, 오늘은 모의해킹하면서 신기한 서비스를 하나 발견했다.

 

대부분의 sourcemap은 asset들 가장 최하단에 //# sourceMappingURL=/hashed-assets/2189-fba78f1fdbd912f4.js.map 이렇게 붙게 되고, 크롬에서는 이를 파싱해서 sourcemap 파일과 매핑해서 원본 소스코드를 보여준다.

 

ms teams에서는 sourcemap에 대한 민감도를 인지하고 있는지, 내부(로컬)에서만 사용할 수 있도록 URL을 구성해놨다.

sourcemap에 대한 자세

 

이런 경우엔 외부에서 local.teams.office.com엔 접속이 불가능하지만, 내부에서는 DNS던 hosts 파일이던 해당 도메인의 IP를 받아올 수 있고 접근할 수 있다.

 

도메인이 dev가 아닌 local로 봐서는 개발자들 PC에서 돌리는 로컬 환경일 가능성이 높다.

 

이렇게 사용하는 경우 일반 사용자들은 sourcemap을 사용할 수 없으나, 내부에서 해당 URL 접근시 sourcemap이 매핑된 원본 소스코드를 통해 디버깅을 할 수 있다.

 

이렇게 구성한건 처음봐서 그런지 정말 똑똑한 것 같다.