javascript - 由于 css-what,react-svg-loader 版本 3.03 中的拒绝服务?
问题描述
由于 css-what 导致 react-svg-loader 版本 3.03 中的拒绝服务,React 解决方案在 npm-audit 中显示了一个高漏洞。
该问题的可能解决方案是什么?
问题如下图:
───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ css-what │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=5.0.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ react-svg-loader │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ react-svg-loader > react-svg-core > svgo > css-select > │
│ │ css-what │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1754 │
└───────────────┴─────────────────────────────────────────────────────────────
解决方案
我尝试用https://www.npmjs.com/package/svg-react-loader替换 react-svg-loader 。它做同样的事情,只是我们需要更改包和 webpack 配置。到目前为止,它没有任何漏洞。
推荐阅读
- r - 逐行检查多个列的条件
- ffmpeg - 如果当前帧没有视频,是否可以将几个视频连接在一起,设置它们的时间并显示背景图像?
- python - MNIST 数据集未能转换为张量对象
- css - 如何在 React Native 中创建门动画
- android - APK 或 App Bundle 可用于 64 位设备,但它们只有 32 位本机
- mysql - Wordpress mysql服务错误错误:无法启动“mysql”:无法启动服务:进程以状态3退出
- django - Mongoengine Django 客户用户身份验证
- bash - 找不到 Shell/Bash 命令:浏览
- c# - 试图从字符串中捕获十进制数
- jenkins - Jenkins 以前的内部版本号