JavaScript -如何从依赖项的依赖项修复手棒安全漏洞

Question

问题：如何修复由库依赖项的依赖项产生的GitHub安全漏洞？

上下文：

最近我收到以下安全漏洞：

10天前在package-lock.json中发现了1个车把漏洞

​

​

将其中一行添加到package.json文件中似乎无法解决安全问题。相反，我发现的唯一可能是< 4.3.0的例子是package-lock.json中的一个引用：

"istanbul-reports": {
  "version": "2.1.1",
  "resolved": "https://registry.npmjs.org/istanbul-reports/-/istanbul-reports-2.1.1.tgz",
  "integrity": "sha512-FzNahnidyEPBCI0HcufJoSEoKykesRlFcSzQqjH9x0+LC8tnnE/p/90PBLu8iZTxr8yYZNyTtiAujUqyN+CIxw==",
  "dev": true,
  "requires": {
    "handlebars": "^4.1.0"
  }
},

当遍历包-lock.json文件中的依赖链时，“伊斯坦布尔-报告”在使用Jest时会被提取。不幸的是，下面似乎是最近的版本。

"devDependencies": {
  "jest": "^24.5.0"
}

关于我如何补救或解决这个问题，有什么建议吗？谢谢!

Answer 1

除非您明确地希望您的输入不被转义(您需要99%的时间转义，因为用户输入永远不能被信任)，否则您应该使用{{双手}。这是docs - https://handlebarsjs.com/guide/#html-escaping

例如，如果让用户输入数据，然后在页面上以{ input }}显示数据，用户可以使用该数据插入恶意脚本