#45702022年9月8日作者 rahul-singh-bv2 个回答
葡萄JS版本 [X] 我确认使用最新版本的GrapesJS 你用的是什么浏览器? Chrome 版本 105.0.5195.102(官方版本)(x86_64) 可复制演示链接 描述一下那个虫子 如何复现这个漏洞?创建一个新的自定义代码块,并添加一个iframe标签,比如“<iframe src=”http://localhost:8888/embed/shopping-list“></iframe> 预期的行为是什么? 它在画布中插入一个 iframe。 目前的行为是什么? 它会出错并失败 如果需要执行某些代码以重现该漏洞,请将其粘贴到下面: 不 错误日志 行为准则 [X] 我同意遵守本项目的行为准则
artf
感谢你的报告,@rahul-辛格-bv 这个bug其实已经 https://github.com/artf/grapesjs/issues/4480 被报告并修复了,但遗憾的是修复还没发布 😞
ClaudeCode
谢谢你举报,@rahul-singh-bv。 安全和依赖性问题很重要。GrapesJS 团队积极致力于保持依赖系统的更新。 为你现在: 运行“npm审计修复”以查看可用的补丁 查看是否有更新的GrapesJS版本,可能已经解决了这个问题 如有稳定版,升级前先测试最新稳定版 如果漏洞非常严重,可以使用“npm audit fix --force”,但请务必彻底测试 理解风险: 在GitHub安全公告中查看具体漏洞详情 并非所有高严重性问题都会影响你的代码路径 某些漏洞仅在特定...
#39322021年11月9日作者 rakelley2 个回答
葡萄JS版本 [X] 我确认使用最新版本的GrapesJS 你用的是什么浏览器? Brave 版本 1.31.88 Chromium:95.0.4638.69(官方构建)(64位)在 Linux 上 可复制演示链接 https://jsfiddle.net/0a3o7cL6/ 描述一下那个虫子 操作组件特征集合的方法(例如“addTrait”和“removeTrait”)似乎总是假设集合是基于Backbone衍生的集合类型,但在某些情况下,它实际上是一个简单的数组。 代码随后尝试调用不存在的方法。 我对代码库不够熟悉,无法确定真正的bug是“get('traits')”返回了不一致的类型,还是调用方法没有考虑混合返回类型。 我在视...
ClaudeCode
谢谢你举报,@rakelley。 安全和依赖性问题很重要。GrapesJS 团队积极致力于保持依赖系统的更新。 为你现在: 运行“npm审计修复”以查看可用的补丁 查看是否有更新的GrapesJS版本,可能已经解决了这个问题 如有稳定版,升级前先测试最新稳定版 如果漏洞非常严重,可以使用“npm audit fix --force”,但请务必彻底测试 理解风险: 在GitHub安全公告中查看具体漏洞详情 并非所有高严重性问题都会影响你的代码路径 某些漏洞仅在特定条件下触发...
#39172021年11月2日作者 denny993 个回答
葡萄JS版本 [X] 我确认使用最新版本的GrapesJS 你用的是什么浏览器? 克罗姆95 可复制演示链接 没有 描述一下那个虫子 如何复现这个漏洞?添加ts config file '''json { “compileOnSave”: false, “compilerOptions”: { “forceConsistentCasingInFileNames”: true, “严格”:真, “noFallthroughCasesInSwitch”:true, “noImplicitAny”:错误, “strictNullChecks”: false, “baseUrl”: “./”, “outDir”:“./target/gen...
artf
嗨,丹尼,谢谢你的报告。我决定关闭这条,转而使用#3902,因为它应该相关(即使错误不同)。 请试试新版本,如果能解决问题请告诉我。
marcosvnmelo
我正在做一个 React + Typescript 项目,.28 版本也遇到同样错误
ClaudeCode
谢谢你举报,@denny99。 安全和依赖性问题很重要。GrapesJS 团队积极致力于保持依赖系统的更新。 为你现在: 运行“npm审计修复”以查看可用的补丁 查看是否有更新的GrapesJS版本,可能已经解决了这个问题 如有稳定版,升级前先测试最新稳定版 如果漏洞非常严重,可以使用“npm audit fix --force”,但请务必彻底测试 理解风险: 在GitHub安全公告中查看具体漏洞详情 并非所有高严重性问题都会影响你的代码路径 某些漏洞仅在特定条件下触发 保...
#36222021年7月14日作者 ronaldohoch4 个回答
版本: 最新 你能重现演示中的bug吗?[] 是的[ ] 不 预期的行为是什么? 给编辑。I18n.setLocale(“es”)在运行时工作。 详细描述那个漏洞 我不知道这是不是个bug,或者本来就不应该这样,另外,我对Backbone了解不够,不知道是否可行,但当使用编辑器时,运行时的 I18n.setLocale(“es”),它不会更改标签。 目前的行为是什么?* 它只是内部设置了位置,但运行时不会更改标签。 详细描述那个漏洞*** 我创建了一个新插件来传递本地化文件第一次加载时,找到了当前位置,设置成葡萄牙语。不会随着区域变化更新,所以你需要重新渲染编辑器。
ronaldohoch
嗯,我不知道Backbone有没有模板绑定,所以我先关门了......
leonardolima99
是的,不幸的是,目前UI(渲染后)不会根据局部区域的变化更新,所以你需要重新渲染编辑器。 这问题还没解决吗?我试过用editor.render(),它能用,但会重复面板......
#34812021年5月25日作者 zgeist4 个回答
当前版本存在安全问题 可能是更新到最新版本
igorstasiuk
是的 +1,需要更新到最新的 Underscore 版本
artf
大家好,我把这封邮件作为#3443的重复关闭
kirill-malyhin
渗透测试后也需要修正!
#34602021年5月17日作者 Redix02 个回答
错误: (节点:206)UnhandledPromiseRejectionWarning:类型错误:无法读取未定义的属性“get” (节点:206)未处理承诺拒绝警告:未处理承诺拒绝。该错误要么源于在没有捕捉块的异步函数中抛入,要么是拒绝了未用 .catch() 处理的承诺。要在未处理的承诺拒绝时终止节点进程,可以使用CLI标志“--unhandled-rejections=strict”(参见 https://nodejs.org/api/cli.html#cliunhandledrejectionsmode)。(拒绝编号:1) (节点:206)[DEP0018]弃用警告:未处理的承诺拒绝将被弃用。未来,未被处理的承诺拒绝将以非...
ClaudeCode
谢谢你举报,@Redix0。 安全和依赖性问题很重要。GrapesJS 团队积极致力于保持依赖系统的更新。 为你现在: 运行“npm审计修复”以查看可用的补丁 查看是否有更新的GrapesJS版本,可能已经解决了这个问题 如有稳定版,升级前先测试最新稳定版 如果漏洞非常严重,可以使用“npm audit fix --force”,但请务必彻底测试 理解风险: 在GitHub安全公告中查看具体漏洞详情 并非所有高严重性问题都会影响你的代码路径 某些漏洞仅在特定条件下触发 保持...
#34432021年5月7日作者 chilled-capybara4 个回答
版本: 'v0.17.3' 你能重现演示中的bug吗?[x] 是的[ ] 不 预期的行为是什么? 见下文 目前的行为是什么? 嵌套依赖中使用的“underscore”版本中存在已知的安全漏洞。 当前版本的“葡萄”使用“backbone-undo”^0.2.5” https://github.com/artf/grapesjs/blob/d7f773202c72710dd787e2ce418c114c9ef81986/package.json#L20 最新版本是通过['npm'](https://www.npmjs.com/package/backbone-undo?activeTab=versions)实现的“0.2.5” 'ba...
emyasnikov
我也在想是否需要“骨干撤销”,或者可以用类似的替代。这个套餐已经6年没更新了
artf
这个套餐已经6年没更新了 嗯,除了更新依赖(比如出于安全考虑),它是一个功能完整的库,不需要添加或更新其他东西。 总之,这个[PR](https://github.com/artf/grapesjs/pull/3439)似乎修复了.lock级别的安全漏洞,但我不确定它们是否会保留在全新安装中。 我知道纱线有针对这种情况的“解决”,但不确定NPM里有没有其他替代方案。
chilled-capybara
谢谢你的回复总之,这个 [PR](https://github.com/artf/grapesjs/pull/3439) 似乎修复了 .lock 级别的安全漏洞,但我不确定它们是否会保留在全新安装中。 我觉得这可能会修复主“grapejs”仓库里的版本,但我不确定它是否限制了通过“backbone-undo”导入的版本。 如果你通过以下方式建立一个全新的项目 新的“Yarn.lock”仍会引用两个版本;
#33322021年3月11日作者 AmtechInnovarch4 个回答
NPM之后,我们可以看到漏洞的程度是不可接受的。 新增了来自383位贡献者的646个包,并在7.892秒内审核了762个包 发现了724个漏洞(353个低点,23个中等,348个高) 运行“NPM Audit Fix”来修复这些问题,或者使用“NPM Audit”获取详细信息 我正在尝试解决这个问题,至少在本地范围内。这会花很长时间,因为每个指定的软件包都存在漏洞。
AmtechInnovarch
这就是为什么有数十年经验的资深程序员不赞成JS作为后端语言。JavaScript 本来就不是用来做服务器端语言的,这些节点包会制造漏洞,导致服务器被黑。 这是一个严重的安全隐患,开发者应当及时解决,或者在 readme.md 中提供足够的警告,劝阻生产环境使用,但不修复所有漏洞。 有没有办法只使用GrapesJS的客户端层?开发者能否识别出客户端文件?
KernelDeimos
GrapesJS 有服务器端层吗?
KernelDeimos
JavaScript 并不是设计成服务器端语言,这些节点包会制造漏洞,导致服务器被黑。 你是说Javascript是唯一依赖会引入安全漏洞的语言吗?如果 JavaScript 有什么特性让这类漏洞更可能发生,你应该在陈述中明确说明,否则你说的只是主观的胡说八道。
#32862021年2月23日作者 abulka3 个回答
有没有办法为内置的 Codemirror 编辑器添加快捷键和插件?我特别想要一个评论快捷键。 有各种插件使用Grapesjs编辑器,包括 https://github.com/artf/grapesjs/issues/324#issuecomment-330571539 和自定义HTML代码插件,https://github.com/Ju99ernaut/grapesjs-script-editor 和 https://github.com/ryandeba/grapesjs-html-block,都能从中受益。 虽然有办法通过常规的 Codemirror 自定义选项,但调用插件似乎不起作用,比如说 “JavaScript var...
abulka
我终于让Grapesjs捆绑的'commentRange'工作了——必须直接调用'cm.commentRange',而不是通过'cm.execCommand'。此外,它还需要参数。因此,只要你选择你想评论的区域,我就能让一些评论功能正常工作: “JavaScript 'Cmd-1': 函数 (cm) { cm.commentRange(true, cm.getCursor(true), cm.getCursor(false)) }, // comment 'Cmd-2':...
artf
是的,我觉得在CodeMirrorEditor.js中曝光没问题
ClaudeCode
谢谢你举报,@abulka。 安全和依赖性问题很重要。GrapesJS 团队积极致力于保持依赖系统的更新。 为你现在: 运行“npm审计修复”以查看可用的补丁 查看是否有更新的GrapesJS版本,可能已经解决了这个问题 如有稳定版,升级前先测试最新稳定版 如果漏洞非常严重,可以使用“npm audit fix --force”,但请务必彻底测试 理解风险: 在GitHub安全公告中查看具体漏洞详情 并非所有高严重性问题都会影响你的代码路径 某些漏洞仅在特定条件下触发 保持...
#32522021年1月28日作者 ThetripGr4 个回答
我在尝试如何更改画布内元素的样式时,发现用颜色选择器特性设置元素的内联样式颜色属性(不是通过getCS()获得的内联样式标签),但使用getHtml()时,这个样式属性完全消失了。我注意到在各期问题中有一个被弃用的 propertyavoidInlineStyle。如果是这样,为什么会出现这种情况?为什么现在不再是这个选项了?我想把CSS保存在特别需要的地方,内联保存,不想多一个样式标签和所有独特的ID,因为我没有使用样式管理器。这有可能实现吗?
artf
@DodoTrip原因是内联CSS不能定义带有状态(例如':悬停')和媒体查询的样式,所以我一直觉得它是个无用的限制,而不是功能。尽管如此,如果你不需要组件响应性或不同状态,你仍然可以使用这个选项。
ThetripGr
你好,@artf,感谢你的回复。能举个例子说明现在是怎么做的吗?还是应该避免InlineStyle让它更容易使用?
artf
说实话,我很早就不再用 avoidInlineStyle,但我想它应该能用 😁