#67232026年3月5日作者 tiburciomzt2 个回答
GrapesJS版本 [x] 我确认使用最新版本的GrapesJS 你用的是什么浏览器? Edge,mozilla 可复制演示链接 匿名 描述一下那个虫子 下拍<=1.13.7 严重程度:高 下拍<=1.13.7 严重程度:高 Underscore在.flatten和.isEqual中具有无限递归,潜在的DoS攻击——https://github.com/advisories/GHSA-qpx9-hpmf-5gmw 修复可通过“NPM审计修复——强制”获得 将安装[email protected],这是个破坏性的变更 nodemodules/下划线 Grapesjs >=0.21.13 这取决于underscore的脆弱版本 nod...
artf
谢谢你的报告@tiburciomzt 该凸起已合并,并将很快发布。
ClaudeCode
谢谢你举报,@tiburciomzt。 安全和依赖性问题很重要。GrapesJS 团队积极致力于保持依赖系统的更新。 为你现在: 运行“npm审计修复”以查看可用的补丁 查看是否有更新的GrapesJS版本,可能已经解决了这个问题 如有稳定版,升级前先测试最新稳定版 如果漏洞非常严重,可以使用“npm audit fix --force”,但请务必彻底测试 理解风险: 在GitHub安全公告中查看具体漏洞详情 并非所有高严重性问题都会影响你的代码路径 某些漏洞仅在特定条件下...
#66872026年1月13日作者 rhaarhoff1 个回答
GrapesJS版本 0.22.14(最新版本截至2025-11-20) 预期的行为是什么? GrapesJS 安装树中没有弃用依赖(或替换指南/路线图)。 现在的行为如何? 安装[email protected]会发出npm/pnpm弃用警告,因为它依赖于[email protected](在npm上弃用)。 繁殖步骤 PNPM [email protected](或 NPM I [email protected]) 注意主干网[email protected]的弃用警告 补充背景 这本身不是漏洞报告;这是维护/支持风险(供应链问题)。 相关历史问题:#3443 涉及下划线咨询路径;本报告专门讨论软件包弃用状态。 问题:是否有计划移除或替换骨干...
ClaudeCode
谢谢你举报,@rhaarhoff。 安全和依赖性问题很重要。GrapesJS 团队积极致力于保持依赖系统的更新。 为你现在: 运行“npm审计修复”以查看可用的补丁 查看是否有更新的GrapesJS版本,可能已经解决了这个问题 如有稳定版,升级前先测试最新稳定版 如果漏洞非常严重,可以使用“npm audit fix --force”,但请务必彻底测试 理解风险: 在GitHub安全公告中查看具体漏洞详情 并非所有高严重性问题都会影响你的代码路径 某些漏洞仅在特定条件下触发...
#65582025年7月3日作者 arustagi1011 个回答
GrapesJS版本 [x] 我确认使用最新版本的GrapesJS 你用的是什么浏览器? 版本 138.0.7204.50(官方构建)(arm64) 可复制演示链接 https://jsfiddle.net/artur_arseniev/L24hkgm5/ 描述一下那个虫子 如何复现这个漏洞? 添加图层管理器,并使用“grapesjs”:“0.22.8”或“0.22.9”的依赖关系。“0.22.7” 运行正常 预期的行为是什么? 在图层部分设置组件不可见,反之亦然,也就是说,将不可见变成可见应该可以。 目前的行为是什么? 在“0.22.8”和“0.22.9”版本中,“隐形”转“可见”在点击图层部分的组件时无法工作。 如果需要执行某...
ClaudeCode
谢谢你举报,@arustagi101。 安全和依赖性问题很重要。GrapesJS 团队积极致力于保持依赖系统的更新。 为你现在: 运行“npm审计修复”以查看可用的补丁 查看是否有更新的GrapesJS版本,可能已经解决了这个问题 如有稳定版,升级前先测试最新稳定版 如果漏洞非常严重,可以使用“npm audit fix --force”,但请务必彻底测试 理解风险: 在GitHub安全公告中查看具体漏洞详情 并非所有高严重性问题都会影响你的代码路径 某些漏洞仅在特定条件下...
#62112024年10月11日作者 jlafosse4 个回答
葡萄JS版本 [X] 我确认使用最新版本的GrapesJS 你用的是什么浏览器? Firefox 131.0.2 可复制演示链接 https://grapesjs.com/demo-newsletter-editor.html 描述一下那个虫子 如何复现这个漏洞?进入 grapesjs 演示,然后导入以下 html: '''html <div class=“foobar”> <img data-gjs-locked=“true” width=“500” src=“https://cdn.pixabay.com/photo/2021/12/16/15/26/forest-68747171280.jpg”> </div> 我怀疑问题来...
artf
嘿,@jlafosse谢谢你的报告。 我不认为最新版本会有这个问题: <img width=“123” alt=“截图 2024-10-21 19 00 04” src=“https://github.com/user-attachments/assets/ff074a31-cd19-4547-bb27-596c92e16d64”> 你能再试着再检查一次吗?
#59232024年5月31日作者 MarceloBD2 个回答
葡萄JS版本[X] 我确认使用最新版本的GrapesJS你用的是什么浏览器? Firefox 126.0.1可复制演示链接 https://grapesjs.com/demo.html描述一下那个虫子 如何复现这个漏洞?打开你的Firefox浏览器,进入演示链接 预期的行为是什么? 编辑器应该显示一个带有组件的白色屏幕画布。应该可以把组件拖拽到屏幕里。 目前的行为是什么? 编辑器是灰色的,且没有可见组件。不能拖拽组件。点击图层菜单时会报错。 有时候它在匿名标签页上也加载不了,但有时会。非常奇怪的行为。我正在检查代码,看看能不能解答。行为准则[X] 我同意遵守本项目的行为准则
nhan-nguyen-se
@MarceloBD 你是怎么解决这个问题的?我也遇到同样的问题。
ClaudeCode
谢谢你举报,@MarceloBD。 安全和依赖性问题很重要。GrapesJS 团队积极致力于保持依赖系统的更新。 为你现在: 运行“npm审计修复”以查看可用的补丁 查看是否有更新的GrapesJS版本,可能已经解决了这个问题 如有稳定版,升级前先测试最新稳定版 如果漏洞非常严重,可以使用“npm audit fix --force”,但请务必彻底测试 理解风险: 在GitHub安全公告中查看具体漏洞详情 并非所有高严重性问题都会影响你的代码路径 某些漏洞仅在特定条件下触发...
#57422024年3月11日作者 bernesto4 个回答
葡萄JS版本 [X] 我确认使用最新版本的GrapesJS 你用的是什么浏览器? Chrome v122 可复制演示链接 无 描述一下那个虫子 如何复现这个漏洞?将git检查到Windows 10+机器上按照提供的流程构建。 预期的行为是什么? 它应该和*inx系统一样建造。 目前的行为是什么? 该构建因引用 Backbone 的错误而失败: “嘘 警告内容见./src/common/index.ts 35:2-16 导出“default”(导入为“Backbone”)在“backbone”中找不到(模块没有导出) @ ./src/editor/view/EditorView.ts 16:0-39 45:21-22 68:2-6...
bernesto
是的,我做了所有常规的事情。锁定文件、更新、各种导入方式({}、require、*、full path 等) 不知道为什么,但我弄坏东西的时候,会弄得很厉害。永远是2级或3级辅助,哈哈。 我确实认为问题出在CLI,或者......配合 Backbone-Undo。也许是路径相关的,或者是符号链接,或者...... ̄\(ツ)/ ̄ 总之,我明白“时间”的含义。我已经花了太多时间了,如果你有兴趣告诉我,哈哈
bernesto
说得好。我还没试过其他版本的Node。我会试试这个方法。
artf
是的,构建/服务是由CLI管理的(我们把问题移到那里),但我不确定问题出在哪里(因为没有Windows可以测试🥲)。
#51542023年5月31日作者 jmtt894 个回答
葡萄JS版本 [X] 我确认使用最新版本的GrapesJS 你用的是什么浏览器? ---- 可复制演示链接 https://codesandbox.io/p/sandbox/pensive-browser-mfhxp8 描述一下那个虫子 如何复现这个bug?创建Angular项目添加 grapeJS 依赖在tsconfig(用于骨干网)中包含“allowSyntheticDefaultImports”: true”为 GrapeJS 创建包装组件在项目中使用包装组件 预期的行为是什么? 渲染葡萄JS编辑器目前的行为如何? 构建时就坏了 行为准则 [X] 我同意遵守本项目的行为准则
marktamis
我把一些tsconfig设置从一个正在运行的vite gjs项目复制到我的stenciljs项目里,现在它运行正常了。我觉得你需要对你的 Angular TSCONFIG 做些调整,这样它就不会再抛出错误了 下面是我正在运行的 Stencilsjs TSCONFIG: 似乎正是这个功能让编译成为可能的原因
Deepakanandrao
“skipLibCheck”:true, “skipLibCheck”: true “”成功了。谢谢@marktamis 👍
artf
是的,在我找到该TS输出😞的修复之前,这里需要用“skipLibCheck”: true”
#51492023年5月29日作者 jchautreux4 个回答
葡萄JS版本 [X] 我确认使用最新版本的GrapesJS 你用的是什么浏览器? 全部都没有,bug出在构建过程中 可复制演示链接 没必要 描述一下那个虫子 如何复现这个漏洞? 使用 NPM 安装 GrapesJS,以便在 TypeScript 项目中使用。 根据文档,要设置非命名插件的选项,我们必须在“init”中定义: 预期的行为是什么? 项目建设顺利进行 目前的行为是什么? 构建失败时出现了以下错误:“计算出的属性名称必须是类型为'string'、'number'、'symbol'或'any'。” 供参考 我们可以使用命名插件,但这种做法是将“弃用”标记为非命名版本 且不能用于官方插件,因为这些插件是无名的行为准则 [X]...
artf
这似乎和 https://github.com/microsoft/TypeScript/issues/35945 有关 作为一个临时的变通方法,你可以先这样做: “''js pluginsOpts: { [myPlugin.toString()]: { customField: 'customValue' } }
artf
添加了辅助工具[这里](https://github.com/GrapesJS/grapesjs/commit/7d5d074e4d2735245541bfcbaad666e7bc37ea56)(我稍后也会更新文档中的使用情况)
#48542023年1月19日作者 mnutt4 个回答
葡萄JS版本 [X] 我确认使用最新版本的GrapesJS 你用的是什么浏览器? Firefox 109 可复制演示链接 没有 描述一下那个虫子 如何复现这个漏洞? 预期的行为是什么? 开发服务器启动。 目前的行为是什么? 我用的是node v16.18.1(MacOS),虽然在节点14和节点18上也出现了同样的结果。是不是我做错了什么明显的错误? 行为准则 [X] 我同意遵守本项目的行为准则
mnutt
是的,我也能用“grapesjs-style-filter”重现,同样的错误类型。
mnutt
我通过修改构建流程,通过“--targets=”“> 3%”'来绕过了这个错误,但由于使用es6类,这会导致骨干错误。
artf
我这边用全新安装无法复现,你用的是开发分支吗?
#46822022年10月22日作者 nabtron4 个回答
葡萄JS版本[X] 我确认使用最新版本的GrapesJS你用的是什么浏览器? 铬106可复制演示链接 本地主持描述一下那个虫子 我更新了包含 Grapesjs 的项目,但现在出现了这个错误: 当我运行我的项目时,会出现这个错误: 以下是module.js前两条线的特点: 我尝试安装了: 但它也失败了 请问我该怎么解决这个问题?行为准则[X] 我同意遵守本项目的行为准则
artf
你不应该尝试编译 Grapesjs 的源代码,因为源代码可能包含与捆绑包相关的内容(正如你提到的,它不是外部包)
nabtron
@artf你不应该在没看完工单前贸然关闭。 如果你看了这期,你会发现我提到“更新”时,我用 NPM I 更新了 Grapesjs 的版本,package.json 的版本改成了最新版本。 代码从0.19.4开始就坏了,因为你在modules.ts开始用.ts文件
artf
是的,我理解你只是更新了版本,但看起来你是在尝试读取 grapesjs 包的源代码,这是错误的(可能将来会删除,'src' 文件夹甚至会被移除)。