【React】 打包扫描出现高风险文件 YUI 版本太低 JSEncrypt

本文主要是介绍【React】 打包扫描出现高风险文件 YUI 版本太低 JSEncrypt,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

漏洞定位

扫出漏洞的情况,多是在说下面几个工具:

  1. jquery

  2. js-cookie

  3. jsencrypt

参考链接

YUI:2.9.0 (Link) http://www.cvedetails.com/cve/CVE-2012-5883/

1.于是在打包后的代码中搜索 YUI(不区分大小写,不进行全字匹配),果然搜到了一段注释:

2.认了这个事情,接下来就容易多了。这明显不是我的代码,那就在 node_modules 中继续搜索,最终在 jsencrypt 下查到了这段注释:

3.用 npm 安装到项目得jsencrypt是没有压缩的,里面包含YUI, 打包之后会出现这种文件;

现在可以总结出:

  1. 漏洞的原因是 YUI 2.9.0 版本存在安全漏洞
  2. 安全软件扫描的依据是注释中包含 yui 的版本号

解决方案:使用压缩后(不含注释)的文件

npm 安装了jsencrypt后 不要直接引入:

 // ERRORimport jsencryptf rom 'jsencrypt'

jsencrypt包中导入默认的导出。这通常意味着你正在导入一个未压缩的、更易于阅读或调试的版本,或者是该包开发者认为对于大多数用途来说最合适的版本。

具体导入了什么取决于jsencrypt包的package.json文件中的 main字段,该字段指定了当使用包名作为导入路径时应导入哪个文件。

        1.使用具体的文件路径导入 jsencrypt.min 文件

        2.从jsencrypt包的bin子目录中的jsencrypt.min文件导入JSEncrypt

        3.这通常意味着你正在导入一个压缩(可能是最小化)的版本,用于生产环境,因为它的大小可能更小,加载速度更快;

        4.但是,由于它是压缩的,所以源码可能不太容易阅读或调试;

        5.文件大小:使用.min后缀的文件通常是压缩过的,因此文件大小可能更小;

// SUCCEED
import JSEncrypt from 'jsencrypt/bin/jsencrypt.min'

最后

要注意的是,不是所有的包都会提供压缩和未压缩的版本,或者可能会使用不同的方法来区分它们(例如,通过环境变量或构建配置)。因此,最好查看特定包的文档来了解如何正确使用它。

这篇关于【React】 打包扫描出现高风险文件 YUI 版本太低 JSEncrypt的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/992745

相关文章

将Java程序打包成EXE文件的实现方式

《将Java程序打包成EXE文件的实现方式》:本文主要介绍将Java程序打包成EXE文件的实现方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录如何将Java程序编程打包成EXE文件1.准备Java程序2.生成JAR包3.选择并安装打包工具4.配置Launch4

HTML5中的Microdata与历史记录管理详解

《HTML5中的Microdata与历史记录管理详解》Microdata作为HTML5新增的一个特性,它允许开发者在HTML文档中添加更多的语义信息,以便于搜索引擎和浏览器更好地理解页面内容,本文将探... 目录html5中的Mijscrodata与历史记录管理背景简介html5中的Microdata使用M

html5的响应式布局的方法示例详解

《html5的响应式布局的方法示例详解》:本文主要介绍了HTML5中使用媒体查询和Flexbox进行响应式布局的方法,简要介绍了CSSGrid布局的基础知识和如何实现自动换行的网格布局,详细内容请阅读本文,希望能对你有所帮助... 一 使用媒体查询响应式布局        使用的参数@media这是常用的

HTML5表格语法格式详解

《HTML5表格语法格式详解》在HTML语法中,表格主要通过table、tr和td3个标签构成,本文通过实例代码讲解HTML5表格语法格式,感兴趣的朋友一起看看吧... 目录一、表格1.表格语法格式2.表格属性 3.例子二、不规则表格1.跨行2.跨列3.例子一、表格在html语法中,表格主要通过< tab

Vue3组件中getCurrentInstance()获取App实例,但是返回null的解决方案

《Vue3组件中getCurrentInstance()获取App实例,但是返回null的解决方案》:本文主要介绍Vue3组件中getCurrentInstance()获取App实例,但是返回nu... 目录vue3组件中getCurrentInstajavascriptnce()获取App实例,但是返回n

JS+HTML实现在线图片水印添加工具

《JS+HTML实现在线图片水印添加工具》在社交媒体和内容创作日益频繁的今天,如何保护原创内容、展示品牌身份成了一个不得不面对的问题,本文将实现一个完全基于HTML+CSS构建的现代化图片水印在线工具... 目录概述功能亮点使用方法技术解析延伸思考运行效果项目源码下载总结概述在社交媒体和内容创作日益频繁的

前端CSS Grid 布局示例详解

《前端CSSGrid布局示例详解》CSSGrid是一种二维布局系统,可以同时控制行和列,相比Flex(一维布局),更适合用在整体页面布局或复杂模块结构中,:本文主要介绍前端CSSGri... 目录css Grid 布局详解(通俗易懂版)一、概述二、基础概念三、创建 Grid 容器四、定义网格行和列五、设置行

前端下载文件时如何后端返回的文件流一些常见方法

《前端下载文件时如何后端返回的文件流一些常见方法》:本文主要介绍前端下载文件时如何后端返回的文件流一些常见方法,包括使用Blob和URL.createObjectURL创建下载链接,以及处理带有C... 目录1. 使用 Blob 和 URL.createObjectURL 创建下载链接例子:使用 Blob

Vuex Actions多参数传递的解决方案

《VuexActions多参数传递的解决方案》在Vuex中,actions的设计默认只支持单个参数传递,这有时会限制我们的使用场景,下面我将详细介绍几种处理多参数传递的解决方案,从基础到高级,... 目录一、对象封装法(推荐)二、参数解构法三、柯里化函数法四、Payload 工厂函数五、TypeScript

PyInstaller打包selenium-wire过程中常见问题和解决指南

《PyInstaller打包selenium-wire过程中常见问题和解决指南》常用的打包工具PyInstaller能将Python项目打包成单个可执行文件,但也会因为兼容性问题和路径管理而出现各种运... 目录前言1. 背景2. 可能遇到的问题概述3. PyInstaller 打包步骤及参数配置4. 依赖