GrapesJS 问题

已收录 3,464 个 GitHub 问题 370 个已解决 · 90 个待解决 搜索、筛选并探索经过实战检验的答案。

找到 12 个问题

🔍 security
#34432021年5月7日作者 chilled-capybara4 个回答
0 个反应

主干网-撤销/下划线安全建议

版本: 'v0.17.3' 你能重现演示中的bug吗?[x] 是的[ ] 不 预期的行为是什么? 见下文 目前的行为是什么? 嵌套依赖中使用的“underscore”版本中存在已知的安全漏洞。 当前版本的“葡萄”使用“backbone-undo”^0.2.5” https://github.com/artf/grapesjs/blob/d7f773202c72710dd787e2ce418c114c9ef81986/package.json#L20 最新版本是通过['npm'](https://www.npmjs.com/package/backbone-undo?activeTab=versions)实现的“0.2.5” 'ba...

emyasnikov

我也在想是否需要“骨干撤销”,或者可以用类似的替代。这个套餐已经6年没更新了

artf

这个套餐已经6年没更新了 嗯,除了更新依赖(比如出于安全考虑),它是一个功能完整的库,不需要添加或更新其他东西。 总之,这个[PR](https://github.com/artf/grapesjs/pull/3439)似乎修复了.lock级别的安全漏洞,但我不确定它们是否会保留在全新安装中。 我知道纱线有针对这种情况的“解决”,但不确定NPM里有没有其他替代方案。

chilled-capybara

谢谢你的回复总之,这个 [PR](https://github.com/artf/grapesjs/pull/3439) 似乎修复了 .lock 级别的安全漏洞,但我不确定它们是否会保留在全新安装中。 我觉得这可能会修复主“grapejs”仓库里的版本,但我不确定它是否限制了通过“backbone-undo”导入的版本。 如果你通过以下方式建立一个全新的项目 新的“Yarn.lock”仍会引用两个版本;

#33322021年3月11日作者 AmtechInnovarch4 个回答
1 个反应

近一半的软件包都存在高风险漏洞,且都存在一定的漏洞。

NPM之后,我们可以看到漏洞的程度是不可接受的。 新增了来自383位贡献者的646个包,并在7.892秒内审核了762个包 发现了724个漏洞(353个低点,23个中等,348个高) 运行“NPM Audit Fix”来修复这些问题,或者使用“NPM Audit”获取详细信息 我正在尝试解决这个问题,至少在本地范围内。这会花很长时间,因为每个指定的软件包都存在漏洞。

AmtechInnovarch

这就是为什么有数十年经验的资深程序员不赞成JS作为后端语言。JavaScript 本来就不是用来做服务器端语言的,这些节点包会制造漏洞,导致服务器被黑。 这是一个严重的安全隐患,开发者应当及时解决,或者在 readme.md 中提供足够的警告,劝阻生产环境使用,但不修复所有漏洞。 有没有办法只使用GrapesJS的客户端层?开发者能否识别出客户端文件?

KernelDeimos

GrapesJS 有服务器端层吗?

KernelDeimos

JavaScript 并不是设计成服务器端语言,这些节点包会制造漏洞,导致服务器被黑。 你是说Javascript是唯一依赖会引入安全漏洞的语言吗?如果 JavaScript 有什么特性让这类漏洞更可能发生,你应该在陈述中明确说明,否则你说的只是主观的胡说八道。

浏览所有主题