React项目SCA扫描提示lodash过期,升级后组件报错怎么办?
刚用sca扫描工具发现项目用的lodash是4.17.20,存在高危漏洞必须升级。我执行npm install lodash@latest后,页面渲染直接报错:
// 组件里这样引用的
import debounce from 'lodash/debounce';
const SearchBar = () => {
const handleInput = debounce((e) => {
console.log(e.target.value);
}, 300);
return <input onChange={handleInput} />;
};
export default SearchBar;
控制台提示”_0.default.debounce is not a function”,但文档里写升级到4.17.21应该没问题啊,我该怎么调整导入方式?
- 1
回答
14浏览
为什么OWASP Dependency-Check扫描我的React项目时总显示lodash有漏洞?
我用React开发项目时用了lodash,昨天跑OWASP扫描突然提示lodash有高危漏洞CVE-2023-30127。我明明在package.json里装的是最新的4.17.23版本啊,这是怎么回...
- 1
回答
72浏览
React项目用lodash-es为啥Tree Shaking没效果?
大家好,我在React项目里改用lodash-es做Tree Shaking优化,但打包后发现整个lodash都被引入了。比如这样写: import _ from 'lodash-es'; const...
- 1
回答
8浏览
React组件库升级后旧项目报错,如何管理组件版本兼容性?
最近在维护一个React组件库时遇到问题,新版本升级后旧项目报错说「Property 'xxx' does not exist on type 'IntrinsicAttributes'」。我尝试在p...
- 2
回答
274浏览
AppScan扫描后提示‘XSS漏洞’,但代码里用了转义,怎么解决?
我在用AppScan扫描Vue项目时,发现一个XSS漏洞指向这个组件: <div v-html="renderContent"></div> 代码里已经对接口返回的数据做了HT...
- 2
回答
41浏览
SAST扫描总报React组件XSS漏洞,但代码明明转义了怎么办?
最近给React项目配置了SAST工具,扫描时总提示组件存在XSS风险。代码里已经用dangerouslySetInnerHTML包裹了sanitization函数处理的数据,为什么还是报这个漏洞? ...
- 2
回答
18浏览
Vite+React项目中配置别名后无法导入组件,路径报错怎么办?
在用Vite搭建React项目时,我按文档配置了@别名指向src目录,但导入组件时总提示404错误。比如这样写: // vite.config.js import { defineConfig } f...
- 1
回答
14浏览
Nessus扫描显示React组件存在XSS漏洞,但代码已经过滤输入了怎么办?
大家好,我在用Nessus扫描公司前端项目时,发现一个React组件被标记为XSS漏洞。但代码明明已经用了DOMPurify过滤输入,这是怎么回事? 我的代码是这样的: import DOMPurif...
- 2
回答
63浏览
为什么我的React组件无法通过Tree Shaking移除未使用的导入?
我在开发React组件时遇到了奇怪的问题。我按照文档在组件里只用了lodash的_.each方法,但打包后发现整个lodash库都被包含了。明明代码里没用到其他函数啊! 我尝试过这样写: import...
- 2
回答
55浏览
为什么VSCode的IntelliSense在React组件中无法自动提示props类型?
我在React项目里用接口定义组件props,但输入时IntelliSense完全没提示类型,这是为什么啊? 比如我这样写了一个组件: interface CardProps { title: str...
- 1
回答
24浏览
W3af扫描React表单时没发现CSRF漏洞,但手动测试存在缺陷
我在用W3af扫描公司新开发的React应用时,发现所有表单请求都没有检测到CSRF漏洞,但手动测试时明显能用跨站请求伪造数据。代码里确实没做CSRF令牌验证,这是为什么啊? 比如这个用户资料更新组件...
如果还有其他地方用到lodash,记得都改成按需引入,不然打包会出问题。我之前也被这个坑过,真是烦。