Во время аудита PCI-аудита аудитор сказал, что у нас были серьезные риски безопасности, потому что
- Можно было загружать статические ресурсы с нашего сайта, такие как изображения css и javascript, без предварительной проверки подлинности.
- В нашем javascript есть комментарии.
Лично я считаю, что это вовсе не угроза безопасности. Изображения css и javascript, которые не были динамически созданы, и не содержали данных на нашем бэкэнд, наших данных о клиенте и о механизмах.
Комментарии в javascript просто объясняли, что делают методы в файле javascript. Кто-нибудь, кто читает JS, мог бы все равно узнать.
Как это показывает " утечка информации"?
Являются ли комментарии в javascript действительно угрозой безопасности?