为什么OWASP Dependency-Check扫描我的React项目时总显示lodash有漏洞?
我用React开发项目时用了lodash,昨天跑OWASP扫描突然提示lodash有高危漏洞CVE-2023-30127。我明明在package.json里装的是最新的4.17.23版本啊,这是怎么回事?
我试过删除node_modules重装依赖,还是报同样的错误。扫描结果截图显示漏洞组件是4.17.21版本,但我的代码里根本没用这个版本…
// package.json里的依赖片段
"dependencies": {
"react": "^18.2.0",
"lodash": "^4.17.23"
},
"devDependencies": {
"@types/lodash": "^4.14.182"
}
用npm ls lodash查依赖树发现,某个子依赖@types/react-redux居然间接拖入了4.17.21版本。但官方说这个漏洞在4.17.22就修复了,我该怎么强制升级这个嵌套依赖?
- 2
回答
35浏览
OWASP依赖检查显示高危漏洞,但依赖项已是最新版本怎么办?
我在项目里用OWASP Dependency-Check扫描时,发现axios@1.6.2有CVE-2023-2793高危漏洞,但运行npm update后版本没变。检查了package.json里明...
- 2
回答
95浏览
React项目用lodash-es为啥Tree Shaking没效果?
大家好,我在React项目里改用lodash-es做Tree Shaking优化,但打包后发现整个lodash都被引入了。比如这样写: import _ from 'lodash-es'; const...
- 2
回答
50浏览
React项目SCA扫描提示lodash过期,升级后组件报错怎么办?
刚用sca扫描工具发现项目用的lodash是4.17.20,存在高危漏洞必须升级。我执行npm install lodash@latest后,页面渲染直接报错: // 组件里这样引用的 import ...
- 1
回答
22浏览
DAST扫描报React应用有XSS漏洞,但我用了JSX不是自动转义了吗?
我们最近用OWASP ZAP做DAST安全扫描,结果报了一个反射型XSS漏洞。可我明明在React里直接用JSX渲染用户输入,按理说React会自动转义啊,怎么还会被扫出来? 比如下面这段代码,只是把...
- 2
回答
52浏览
Tree Shaking 为什么没生效?按需引入 lodash 还是打包了整个库?
我用 Webpack + Babel 开发 React 项目,想按需引入 lodash 的 debounce 方法,但打包后发现整个 lodash 库都被打进去了,体积一点没减。 我试过直接 impo...
- 2
回答
33浏览
DAST扫描前端页面时为什么总报CSRF漏洞?
我用 OWASP ZAP 做 DAST 扫描,每次扫我们 React 项目都提示 CSRF 漏洞,但我们根本没用表单提交,全是 fetch 请求,而且后端也校验了 token 啊。 尝试过在请求头加 ...
- 2
回答
24浏览
OWASP ZAP扫描时为什么总报“缺少安全头”?
我用 OWASP ZAP 扫描自己的前端项目,每次都会提示“Missing Security Headers”,比如 X-Content-Type-Options 和 X-Frame-Options。...
- 2
回答
83浏览
为什么我的React组件无法通过Tree Shaking移除未使用的导入?
我在开发React组件时遇到了奇怪的问题。我按照文档在组件里只用了lodash的_.each方法,但打包后发现整个lodash库都被包含了。明明代码里没用到其他函数啊! 我尝试过这样写: import...
- 1
回答
40浏览
SCA扫描报了lodash高危漏洞,但我项目里根本没直接装它?
最近CI里的SCA扫描突然报了个lodash的CVE-2023-45133高危漏洞,可我查了package.json压根没直接依赖lodash。是不是被某个依赖偷偷带进来的?该怎么定位和修复啊? 我试...
- 1
回答
37浏览
OWASP ZAP 扫描时为什么总报 CSRF 漏洞?
我在用 OWASP ZAP 扫描一个内部管理后台,每次扫描都提示存在 CSRF 漏洞,但我前端已经加了 X-CSRF-Token 请求头,后端也做了校验,为啥还会报? 尝试过在 ZAP 的“上下文”里...
解决思路是强制让所有依赖都使用同一个lodash版本。npm从8.3版本开始支持overrides字段,可以在package.json里直接覆盖嵌套依赖的版本。
在package.json里加上这个:
加完之后删除node_modules和package-lock.json,重新npm install。overrides会递归作用于所有依赖,不管嵌套多深,都会用你指定的版本。
完事儿跑一下npm ls lodash确认只剩4.17.23,然后再跑OWASP扫描验证。
另外注意,这个CVE-2023-30127我查了一下官方记录,实际上是个误报——lodash官方根本没发过这个CVE编号的漏洞。但既然OWASP扫出来了,用overrides统一版本号肯定没毛病,以后依赖管理也清爽些。
如果用的是npm,安装npm-force-resolutions插件,然后在package.json里加个preinstall脚本:
删掉node_modules重装依赖,搞定。就这样。