React项目SCA扫描提示lodash过期,升级后组件报错怎么办?
刚用sca扫描工具发现项目用的lodash是4.17.20,存在高危漏洞必须升级。我执行npm install lodash@latest后,页面渲染直接报错:
// 组件里这样引用的
import debounce from 'lodash/debounce';
const SearchBar = () => {
const handleInput = debounce((e) => {
console.log(e.target.value);
}, 300);
return <input onChange={handleInput} />;
};
export default SearchBar;
控制台提示”_0.default.debounce is not a function”,但文档里写升级到4.17.21应该没问题啊,我该怎么调整导入方式?
- 2
回答
40浏览
为什么OWASP Dependency-Check扫描我的React项目时总显示lodash有漏洞?
我用React开发项目时用了lodash,昨天跑OWASP扫描突然提示lodash有高危漏洞CVE-2023-30127。我明明在package.json里装的是最新的4.17.23版本啊,这是怎么回...
- 1
回答
40浏览
SCA扫描报了lodash高危漏洞,但我项目里根本没直接装它?
最近CI里的SCA扫描突然报了个lodash的CVE-2023-45133高危漏洞,可我查了package.json压根没直接依赖lodash。是不是被某个依赖偷偷带进来的?该怎么定位和修复啊? 我试...
- 2
回答
97浏览
React项目用lodash-es为啥Tree Shaking没效果?
大家好,我在React项目里改用lodash-es做Tree Shaking优化,但打包后发现整个lodash都被引入了。比如这样写: import _ from 'lodash-es'; const...
- 2
回答
52浏览
Tree Shaking 为什么没生效?按需引入 lodash 还是打包了整个库?
我用 Webpack + Babel 开发 React 项目,想按需引入 lodash 的 debounce 方法,但打包后发现整个 lodash 库都被打进去了,体积一点没减。 我试过直接 impo...
- 2
回答
31浏览
React组件库升级后旧项目报错,如何管理组件版本兼容性?
最近在维护一个React组件库时遇到问题,新版本升级后旧项目报错说「Property 'xxx' does not exist on type 'IntrinsicAttributes'」。我尝试在p...
- 2
回答
307浏览
AppScan扫描后提示‘XSS漏洞’,但代码里用了转义,怎么解决?
我在用AppScan扫描Vue项目时,发现一个XSS漏洞指向这个组件: <div v-html="renderContent"></div> 代码里已经对接口返回的数据做了HT...
- 2
回答
79浏览
SAST扫描总报React组件XSS漏洞,但代码明明转义了怎么办?
最近给React项目配置了SAST工具,扫描时总提示组件存在XSS风险。代码里已经用dangerouslySetInnerHTML包裹了sanitization函数处理的数据,为什么还是报这个漏洞? ...
- 2
回答
54浏览
npm audit 报高危漏洞,但升级依赖后项目就报错怎么办?
我用 npm audit 扫描项目,发现 lodash 有个高危漏洞,提示要升级到 4.17.21 以上。可我升级完之后,页面直接白屏,控制台报错说某个方法 undefined。 之前用的是 4.17...
- 2
回答
48浏览
Vite+React项目中配置别名后无法导入组件,路径报错怎么办?
在用Vite搭建React项目时,我按文档配置了@别名指向src目录,但导入组件时总提示404错误。比如这样写: // vite.config.js import { defineConfig } f...
- 2
回答
43浏览
Nessus扫描显示React组件存在XSS漏洞,但代码已经过滤输入了怎么办?
大家好,我在用Nessus扫描公司前端项目时,发现一个React组件被标记为XSS漏洞。但代码明明已经用了DOMPurify过滤输入,这是怎么回事? 我的代码是这样的: import DOMPurif...
新版lodash对按需引入支持不太好,反正我是懒得研究那些复杂的配置,这样写完事儿。
如果还有其他地方用到lodash,记得都改成按需引入,不然打包会出问题。我之前也被这个坑过,真是烦。