2

前段时间,我遇到了一个名为“ Missing Origin Validation”的 npm 漏洞。

消息如下:

  High            Missing Origin Validation

  Package         webpack-dev-server

  Dependency of   react-scripts

  Path            react-scripts > webpack-dev-server

  More info       https://nodesecurity.io/advisories/725

当我按照 NPM 的指示并通过运行 npm install 修复它时react-scripts@2.1.1。很好。

最近,在我的另一个分支(我们称之为分支test)上,我出于某种目的安装了 webpack。尽管 webpack 在技术上只安装在我的test分支中,但当我切换到我的master分支时,发生了这种情况:

The react-scripts package provided by Create React App requires a dependency:

  "webpack": "4.19.1"

Don't try to install it manually: your package manager does it automatically.
However, a different version of webpack was detected higher up in the tree:

  C:\Users\pzheng\my-app\node_modules\webpack (version: 4.25.1)

我没有看到我的主分支的 package.json 中安装了 webpack。但是,我还是按照 NPM 的指示:删除了我的package-lock.json然后node_modules我跑了npm install

它已修复,但随后Missing Origin Validation漏洞再次出现。在这一点上,我正在进入一个循环。将来test分支将被合并。然后我需要选择一个版本。但是,任何一个版本都会导致错误。

任何帮助表示赞赏。

4

0 回答 0