为什么OWASP Dependency-Check扫描我的React项目时总显示lodash有漏洞?
我用React开发项目时用了lodash,昨天跑OWASP扫描突然提示lodash有高危漏洞CVE-2023-30127。我明明在package.json里装的是最新的4.17.23版本啊,这是怎么回事?
我试过删除node_modules重装依赖,还是报同样的错误。扫描结果截图显示漏洞组件是4.17.21版本,但我的代码里根本没用这个版本…
// package.json里的依赖片段
"dependencies": {
"react": "^18.2.0",
"lodash": "^4.17.23"
},
"devDependencies": {
"@types/lodash": "^4.14.182"
}
用npm ls lodash查依赖树发现,某个子依赖@types/react-redux居然间接拖入了4.17.21版本。但官方说这个漏洞在4.17.22就修复了,我该怎么强制升级这个嵌套依赖?
- 2
回答
12浏览
OWASP依赖检查显示高危漏洞,但依赖项已是最新版本怎么办?
我在项目里用OWASP Dependency-Check扫描时,发现axios@1.6.2有CVE-2023-2793高危漏洞,但运行npm update后版本没变。检查了package.json里明...
- 1
回答
73浏览
React项目用lodash-es为啥Tree Shaking没效果?
大家好,我在React项目里改用lodash-es做Tree Shaking优化,但打包后发现整个lodash都被引入了。比如这样写: import _ from 'lodash-es'; const...
- 1
回答
21浏览
React项目SCA扫描提示lodash过期,升级后组件报错怎么办?
刚用sca扫描工具发现项目用的lodash是4.17.20,存在高危漏洞必须升级。我执行npm install lodash@latest后,页面渲染直接报错: // 组件里这样引用的 import ...
- 2
回答
64浏览
为什么我的React组件无法通过Tree Shaking移除未使用的导入?
我在开发React组件时遇到了奇怪的问题。我按照文档在组件里只用了lodash的_.each方法,但打包后发现整个lodash库都被包含了。明明代码里没用到其他函数啊! 我尝试过这样写: import...
- 1
回答
15浏览
Nessus扫描显示React组件存在XSS漏洞,但代码已经过滤输入了怎么办?
大家好,我在用Nessus扫描公司前端项目时,发现一个React组件被标记为XSS漏洞。但代码明明已经用了DOMPurify过滤输入,这是怎么回事? 我的代码是这样的: import DOMPurif...
- 1
回答
42浏览
React项目HTTPS部署后,为什么AJAX请求到http://api端点被阻止?
我在React项目里用fetch调用公司旧系统的API接口,开发环境用HTTPS没问题,但部署到HTTPS服务器后突然报错:"Mixed Content: The page was loaded ov...
- 1
回答
59浏览
React项目中为什么Tree Shaking没删除未使用的导出函数?
我在React项目里用ES6模块导出了一些工具函数,但打包后发现未使用的函数仍然留在bundle里。比如这个utils.js: // utils.js export function useFetch...
- 2
回答
56浏览
为什么VSCode的IntelliSense在React组件中无法自动提示props类型?
我在React项目里用接口定义组件props,但输入时IntelliSense完全没提示类型,这是为什么啊? 比如我这样写了一个组件: interface CardProps { title: str...
- 2
回答
42浏览
SAST扫描总报React组件XSS漏洞,但代码明明转义了怎么办?
最近给React项目配置了SAST工具,扫描时总提示组件存在XSS风险。代码里已经用dangerouslySetInnerHTML包裹了sanitization函数处理的数据,为什么还是报这个漏洞? ...
- 1
回答
3浏览
React中POST请求为什么被CORS拦截?预检请求没发出去?
在React项目里用fetch发POST请求到第三方API时,浏览器突然报CORS错误。我明明设置了headers里的Content-Type为application/json,但控制台显示"Resp...
如果用的是npm,安装npm-force-resolutions插件,然后在package.json里加个preinstall脚本:
删掉node_modules重装依赖,搞定。就这样。