【发布时间】:2021-08-14 10:09:35
【问题描述】:
信息安全审计工具针对在我们的 webpack 捆绑(由 Vue CLI)chunk-vendors.js 文件中发现的具有已知漏洞的过时库提出了一个标志:
YUI 2.9.0
似乎这个库甚至没有完整包含,因为它只是这个简短的 sn-p 代码:
/*! Copyright (c) 2011, Yahoo! Inc. All rights reserved. Code licensed under the BSD License: http://developer.yahoo.com/yui/license.html version: 2.9.0 */if(void 0===a)var a={};a.lang={extend:function(e,n,i){if(!n||!e)throw new Error("YAHOO.lang.extend failed, please check that all dependencies are included.");var a=function(){};if(a.prototype=n.prototype,e.prototype=new a,e.prototype.constructor=e,e.superclass=n.prototype,n.prototype.constructor==Object.prototype.constructor&&(n.prototype.constructor=n),i){var o;for(o in i)e.prototype[o]=i[o];var s=function(){},c=["toString","valueOf"];try{/MSIE/.test(r.userAgent)&&(s=function(t,e){for(o=0;o<c.length;o+=1){var n=c[o],r=e[n];"function"==typeof r&&r!=Object.prototype[n]&&(t[n]=r)}})}catch(t){}s(e.prototype,i)}}};
我期待找到由 NPM 安装的 YUI 依赖项,因此在 package-lock.json 中找到,但是在锁定文件中没有找到 yui。
如何将这个依赖包含在chunk-vendors.js文件中而不包含在package-lock.json中,或者如何调试它?
【问题讨论】:
-
只需通过
node_modules做一个简单的文件grep查找以上版权文本 -
@IVOGELOV 谢谢,这有帮助!当我在 Windows 机器上时,在
node_modules文件夹中执行此命令会查明与此相关的依赖文件:findstr /s /i /m \<developer.yahoo.com\> *.* > results.out- 请回答,以便我将其标记为正确答案。
标签: javascript npm webpack package.json vue-cli