ReactJS:运行create react应用程序时存在中度严重漏洞
在运行npx create react app my app时,我发现10个中度严重漏洞。即使在运行npm audit fix或npm audit fix--force之后也无法修复。当我运行npm audit fix时——强制我得到44个漏洞(25个低,5个中等,14个高),然后再次,如果我运行相同的命令来修复,我得到10个中等严重性的漏洞。每次我运行命令时,这都会以循环的方式进行。
$ npm audit
# npm audit report
browserslist 4.0.0 - 4.16.4
Severity: moderate
Regular Expression Denial of Service - https://npmjs.com/advisories/1747
fix available via `npm audit fix --force`
Will install react-scripts@1.1.5, which is a breaking change
node_modules/react-dev-utils/node_modules/browserslist
react-dev-utils >=6.0.0-next.03604a46
Depends on vulnerable versions of browserslist
node_modules/react-dev-utils
react-scripts >=0.10.0-alpha.328cb32e
Depends on vulnerable versions of @pmmmwh/react-refresh-webpack-plugin
Depends on vulnerable versions of react-dev-utils
Depends on vulnerable versions of webpack
Depends on vulnerable versions of webpack-dev-server
node_modules/react-scripts
glob-parent <5.1.2
Severity: moderate
Regular expression denial of service - https://npmjs.com/advisories/1751
fix available via `npm audit fix --force`
Will install react-scripts@1.1.5, which is a breaking change
node_modules/watchpack-chokidar2/node_modules/glob-parent
node_modules/webpack-dev-server/node_modules/glob-parent
chokidar 1.0.0-rc1 - 2.1.8
Depends on vulnerable versions of glob-parent
node_modules/watchpack-chokidar2/node_modules/chokidar
node_modules/webpack-dev-server/node_modules/chokidar
watchpack-chokidar2 *
Depends on vulnerable versions of chokidar
node_modules/watchpack-chokidar2
watchpack 1.7.2 - 1.7.5
Depends on vulnerable versions of watchpack-chokidar2
node_modules/watchpack
webpack 4.44.0 - 4.46.0
Depends on vulnerable versions of watchpack
node_modules/webpack
react-scripts >=0.10.0-alpha.328cb32e
Depends on vulnerable versions of @pmmmwh/react-refresh-webpack-plugin
Depends on vulnerable versions of react-dev-utils
Depends on vulnerable versions of webpack
Depends on vulnerable versions of webpack-dev-server
node_modules/react-scripts
webpack-dev-server 2.0.0-beta - 3.11.2
Depends on vulnerable versions of chokidar
node_modules/webpack-dev-server
@pmmmwh/react-refresh-webpack-plugin 0.3.1 - 0.5.0-rc.6
Depends on vulnerable versions of webpack-dev-server
node_modules/react-scripts/node_modules/@pmmmwh/react-refresh-webpack-plugin
10 moderate severity vulnerabilities
To address all issues (including breaking changes), run:
npm audit fix --force
共有2个答案
这些漏洞似乎来自开发人员依赖关系,因此您可能不必修复这些漏洞。
React开发者之一、Redux的创建者丹·阿布拉莫夫(Dan Abramov)写了一篇文章解释了这一点https://overreacted.io/npm-audit-broken-by-design/
您必须运行npm审核--生产,而不是npm审核。这是一个已知的问题,没有真正的解决方案。这些都应该在您的devdependency中,并且不会对您的生产构建产生任何安全影响。
在这里阅读有关开发人员依赖项与依赖项的更多信息。
阅读更多关于这一点的反应创建应用Github。
-
除了上面的命令之外,我还尝试了 “sudo pm2 start npm--branch_env=stage node_env=production port=80 node appserverstart.js” 请救命! ----错误详细信息---- AppServerStart.js -----附加信息----服务器:CentOS Linux version 7 core,npm版本:6.4.1
-
有人能解释一下如何在不指定端口的情况下在端口80上运行我的reactJS应用程序吗 目前它在www.mydomain.com:3001工作,但我希望它是可见的,当我去www.mydomain.com 我在创建-反应-应用文档网站上找不到解决方案,所以我在这里问。 如果我使用 我得到错误的东西已经使用端口80(我没有指定PORT=80) 谢啦
-
仿真器已经存在,但当我启动应用程序时,它不工作,请帮助:) 我什么都试过了。 卡尔,扑扑新手。 我遵循了安装指南,并尝试了从其他堆栈流答案的修复,我正在运行Windows8.1单数用户。我试过从命令提示符和在android终端 <***C:\users\callum\first_app>Flutter仿真器 Pixel_2_API_28•pixel_2•Google•Pixel2 API 28 要
-
问题内容: 我有一个现有的Flask应用程序,并且想找到通往另一个应用程序的路线。更具体地说,第二个应用程序是Plotly Dash应用程序。如何在现有的Flask应用程序中运行Dash应用程序? 我还尝试将路由添加到Dash实例,因为它是Flask应用程序,但出现错误: 问题答案: 从文档: 基本的Flask应用程序可从访问app.server。 你还可以将自己的Flask应用实例传递到Dash
-
我试图在SpringMVC中运行SpringBoot应用程序,在SpringMVCPOM中添加SpringBoot应用程序依赖项,并扫描SpringBoot包,但我面临以下问题
-
问题内容: 我想使用html applet标记在我的Web应用程序中运行简单applet,但是它给出了类似的错误 java.lang.ClassNotFoundException:MyApplet 请给我示例应用程序,如果可能的话..... 问题答案: 问题是applet引擎在您定义的代码库中找不到MyApplet类。 这是因为您在/ WEB-INF / classes目录中进行了分类。该目录受s