.env Masker — che secret trước khi share
Mask giá trị .env trước khi paste vào GitHub Issue, Slack, screenshot. 4 chế độ: ***, giữ 4 ký tự đầu, .env.example rỗng, hoặc thay bằng độ dài. Hỗ trợ allowlist (giữ NODE_ENV/PORT) và blocklist.
Mask .env trước khi share lên GitHub Issue, Slack, screenshot. Mọi xử lý chạy trong trình duyệt — không gửi secret lên server. Một trong những lỗi rò rỉ phổ biến nhất là quên scrub secret khi paste log.
Khi nào dùng?
- Báo bug trong GitHub Issue: cần show
.envđể team debug nhưng KHÔNG được lộ secret. - Tạo
.env.examplecho repo public — output mode "example" giữ key, xoá value. - Screenshot terminal / VS Code: paste vào tool, copy output, screenshot version đã mask.
- Onboarding doc: liệt kê biến cần set mà không cho biết giá trị production.
4 chế độ mask
| Mode | Output | Khi dùng |
|---|---|---|
| Mask toàn bộ | SECRET=*** | Gọn nhất, không lộ độ dài |
| Giữ 4 ký tự đầu | SECRET=sk_l**** | Đủ để bạn nhận ra key, không lộ phần còn lại |
| .env.example | SECRET= | Tạo template cho repo public |
| Thay bằng độ dài | SECRET=*********** | Lộ độ dài nhưng không lộ format |
Quy tắc auto-detect
Mặc định tool mask key match pattern: TOKEN, SECRET, KEY, PASSWORD, PWD, AUTH, CREDENTIAL, API_KEY, PRIVATE, DSN, _URL.
Mặc định KHÔNG mask key bắt đầu bằng: NODE_ENV, PORT, HOST, LOG_LEVEL, TZ, LANG, DEBUG, PUBLIC_, NEXT_PUBLIC_, VITE_, REACT_APP_, NUXT_PUBLIC_.
Có thể override bằng allowlist (luôn giữ) và blocklist (luôn mask). Allowlist ưu tiên cao hơn.
Lưu ý quan trọng
- Tool chạy 100% trong browser — giá trị bạn paste KHÔNG bị gửi lên server. Tắt mạng để kiểm chứng.
- Nếu secret đã lỡ commit vào git: rotate ngay trên service tương ứng, đừng chỉ
git rm— secret vẫn ở trong git history. - Dùng git-secrets hoặc trufflehog pre-commit để chặn tự động.
Phù hợp với ai
Lập trình viên fullstack/backend/devops — debug JWT, format JSON/SQL, parse cURL, tính subnet CIDR, vẽ diagram Mermaid, viết commit chuẩn… Toolkit dùng hằng ngày trong terminal & code editor.
Câu hỏi thường gặp
Code/token tôi paste có gửi đi đâu không?
Không. Tất cả công cụ dev của TopDev chạy 100% client-side — JWT, SQL, JSON, cURL, regex… đều xử lý trong trình duyệt. Bạn có thể tắt mạng để kiểm chứng. Phù hợp để paste token nội bộ, query database production, key API.
Có hỗ trợ offline / cài thành PWA không?
Tool đã chạy được offline sau lần load đầu tiên. PWA installable đang nằm trong roadmap — hiện tại bạn có thể bookmark trang và dùng khi mất mạng.
Công cụ liên quan
Xem tất cả công cụ →JWT Decoder
Decode JWT token, xem header/payload/claims với thời gian dễ đọc.
MỚISo sánh văn bản (Diff)
Paste 2 đoạn text/code → highlight khác biệt từng từ/dòng/ký tự. Phù hợp diff output AI.
MỚIJSON Schema Generator
Tạo JSON Schema (Draft-07) từ JSON mẫu — dùng cho structured output LLM, validate API.
MỚIFormat JSON
Format / minify / validate JSON. Sort key A-Z, custom indent, phím tắt Ctrl+Enter.