前段时间,我遇到了一个名为“ Missing Origin Validation
”的 npm 漏洞。
消息如下:
High Missing Origin Validation
Package webpack-dev-server
Dependency of react-scripts
Path react-scripts > webpack-dev-server
More info https://nodesecurity.io/advisories/725
当我按照 NPM 的指示并通过运行 npm install 修复它时react-scripts@2.1.1
。很好。
最近,在我的另一个分支(我们称之为分支test
)上,我出于某种目的安装了 webpack。尽管 webpack 在技术上只安装在我的test
分支中,但当我切换到我的master
分支时,发生了这种情况:
The react-scripts package provided by Create React App requires a dependency:
"webpack": "4.19.1"
Don't try to install it manually: your package manager does it automatically.
However, a different version of webpack was detected higher up in the tree:
C:\Users\pzheng\my-app\node_modules\webpack (version: 4.25.1)
我没有看到我的主分支的 package.json 中安装了 webpack。但是,我还是按照 NPM 的指示:删除了我的package-lock.json
然后node_modules
我跑了npm install
它已修复,但随后Missing Origin Validation
漏洞再次出现。在这一点上,我正在进入一个循环。将来test
分支将被合并。然后我需要选择一个版本。但是,任何一个版本都会导致错误。
任何帮助表示赞赏。