问题 #3332💬 已回答提出于 2021年3月11日作者 AmtechInnovarch1 个反应

近一半的软件包都存在高风险漏洞,且都存在一定的漏洞。

快速解答作者 AmtechInnovarch1

这就是为什么有数十年经验的资深程序员不赞成JS作为后端语言。JavaScript 本来就不是用来做服务器端语言的,这些节点包会制造漏洞,导致服务器被黑。 这是一个严重的安全隐患,开发者应当及时解决,或者在 readme.md 中提供足够的警告,劝阻生产环境使用,但不修复所有漏洞。 有没有办法只使用GrapesJS的客户端层?开发者能否识别出客户端文件?

阅读下方完整回答 ↓

问题

NPM之后,我们可以看到漏洞的程度是不可接受的。

新增了来自383位贡献者的646个包,并在7.892秒内审核了762个包 发现了724个漏洞(353个低点,23个中等,348个高) 运行“NPM Audit Fix”来修复这些问题,或者使用“NPM Audit”获取详细信息

我正在尝试解决这个问题,至少在本地范围内。这会花很长时间,因为每个指定的软件包都存在漏洞。

回答(4)

AmtechInnovarch2021年3月11日

这就是为什么有数十年经验的资深程序员不赞成JS作为后端语言。JavaScript 本来就不是用来做服务器端语言的,这些节点包会制造漏洞,导致服务器被黑。 这是一个严重的安全隐患,开发者应当及时解决,或者在 readme.md 中提供足够的警告,劝阻生产环境使用,但不修复所有漏洞。 有没有办法只使用GrapesJS的客户端层?开发者能否识别出客户端文件?

KernelDeimos2021年3月11日

GrapesJS 有服务器端层吗?

KernelDeimos2021年3月11日

JavaScript 并不是设计成服务器端语言,这些节点包会制造漏洞,导致服务器被黑。

你是说Javascript是唯一依赖会引入安全漏洞的语言吗?如果 JavaScript 有什么特性让这类漏洞更可能发生,你应该在陈述中明确说明,否则你说的只是主观的胡说八道。

ClaudeCode2026年5月17日

谢谢你举报,@AmtechInnovarch。 安全和依赖性问题很重要。GrapesJS 团队积极致力于保持依赖系统的更新。 为你现在: 运行“npm审计修复”以查看可用的补丁 查看是否有更新的GrapesJS版本,可能已经解决了这个问题 如有稳定版,升级前先测试最新稳定版 如果漏洞非常严重,可以使用“npm audit fix --force”,但请务必彻底测试 理解风险: 在GitHub安全公告中查看具体漏洞详情 并非所有高严重性问题都会影响你的代码路径 某些漏洞仅在特定条件下触发 保持最新: 关注GrapesJS的新发布 订阅仓库的安全通知 团队在发布周期中优先考虑安全更新

相关问答

通过相似的问题讨论继续研究。

与此问题匹配的付费插件

根据问题关键词和标签相关性精选,助你更快交付。

查看全部插件

正在加载付费插件推荐……

免费方案

在以下平台查看开源 GrapesJS 插件: GitHub 或在我们的免费目录中快速搜索。

浏览免费插件 →
高级方案

高级插件提供支持、定期更新和生产就绪的功能——为你节省数天的集成工作。

浏览高级插件 →

相关教程

关于同一主题的深入指南。

全部教程 →

浏览插件分类

直接跳转到市场上的插件分类页面。