首頁猿問 npm漏洞修復...

npm漏洞修復 audit查看報告后怎樣處理？

JavaScript

德瑪西亞99 2019-03-07 16:52:07

今天npm提示檢測到了兩個高危漏洞運行 npm audit fix進行修復，修復完成后提示有一個漏洞無法自動修復，需要手動審核運行 npm audit 得到以下安全報告： === npm audit security report === Manual Review Some vulnerabilities require your attention to resolve Visit https://go.npm.me/audit-guide for additional guidance High Missing Origin Validation Package webpack-dev-server Patched in >=3.1.11 Dependency of vue-photo-preview Path vue-photo-preview > webpack-dev-server More info https://nodesecurity.io/advisories/725found 1 high severity vulnerability in 18322 scanned packages 1 vulnerability requires manual review. See the full report for details.這個就看不懂的，是webpack-dev-server的問題還是vue-photo-preview的問題呢？有沒有大神能解答一下，這個漏洞需要怎么處理？

查看完整描述

2 回答

茅侃侃

TA貢獻1842條經(jīng)驗獲得超21個贊

提示的很明顯，是 vue-photo-preview 依賴的 webpack-dev-server 版本有漏洞風險。這個在 webpack-dev-server@3.1.11 之后被修復了。但 vue-photo-preview 其實只依賴 photoswipe，其他的 15 個依賴都應該是 Dev Dependencies。建議不要用 vue-photo-preview 這個庫，直接用 photoswipe 就可以。

反對回復 2019-03-07