y18n引发安全漏洞,警惕javascript原型链污染

最新推荐文章于 2023-04-04 13:36:26 发布
VIP文章 最新推荐文章于 2023-04-04 13:36:26 发布
阅读量943 收藏
点赞数 1
分类专栏: node&deno 文章标签: node.js es6 javascript 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TimCur_F4/article/details/115392371
版权

警惕javascript原型链污染问题

昨天收到了github的邮件,提醒我有一条Dependabot alerts,包依赖存在安全问题,当然这不是第一次了,正常情况我批准merge掉后就不会关心了,不过我发现这个包是y18n,这让我感到奇怪,这个包的功能非常简单,其实就是i18n,做语言国际化用的,逻辑应该非常简单,怎么会出安全问题呢?

我找到了这个安全问题的具体信息,他的CVE ID为CVE-2020-7774,并且上报了SNYK,代码为SNYK-JS-Y18N-1021887,SNYK对此安全问题给出了7.3的高分,并将安全类别划分为CWE-400(资源消耗不受限制),如此严重的问题是怎么回事呢?

找到具体的修复PR,在https://github.com/yargs/y18n/pull/108,commit只有一个,为https://github.com/yargs/y18n/pull/108/commits/e90e8ce71b2fd5aa27c5109884ea47525fde961f,打开这个commit,发现其实主要只改了一行代码,加了两个检测原型的单元测试,这一行代码修改如下

-    this.cache = {
   }
+    this.cache = Object.create(
最低0.47元/天 解锁文章
_lyrieek
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
y18n:yargs使用的基本i18n库
05-01
y18n yargs使用的准系统国际化库。 受启发。 例子 简单的字符串翻译: const __ = require ( 'y18n' ) ( ) . __ ; console . log ( __ ( 'my awesome string %s' , 'foo' ) ) ; 输出: my awesome string foo 使用标记的模板文字 const __ = require ( 'y18n' ) ( ) . __ ; const str = 'foo' ; console . log ( __ `my awesome string ${ str } ` ) ; 输出: my awesome string foo 多元化支持: const __n = require ( 'y18n' ) ( ) . __n ; console . log ( __n ( 'on
Ubuntu20.04 配置OpenGL开发环境(并验证)
最新发布
weixin_46457532的博客
07-25 5091
这一步可以查看我们手上的“树莓派”搭载的乌班图系统的显卡版本,并且它对OpenGL的支持信息。上面OpenGL version string: 3.1 Mesa 21.2.6可以看出OpenGL的版本为3.1。
vue-----vue-18n多语言处理,实现国际化
m0_57391092的博客
10-19 1076
需求:后台管理系统中要求页面国际化,页面语言能够进行切换,满足不同地区用户需求。 可以借助vue-i18n插件来实现这个需求 vue-i18n国际化插件:实现语言切换 使用: 一、安装依赖 npm install vue-i18n 二、main.js文件中导入、配置(配置也可写在一个单独的i18n.js文件中) import Vue from "vue"; import App from "./App"; import router from "./router"; import VueI
Electron攻击面分析
顶峰
04-04 452
安装nvm、node、yarn
qq_37866866的博客
11-17 1926
安装nvm、node、yarn
y18n, yargs使用的裸骨骼 i18n 库.zip
09-18
y18n, yargs使用的裸骨骼 i18n 库 y18n yargs使用的裸骨骼国际化库。由 i18n 激发。示例简单字符串翻译:var __ = require('y18n').__console.log(__('my awesome str
legalAidFinder:Y18高级设计
05-19
威斯康星州法律援助查找器
babel-plugin-as-macro:JavaScript代码中宏的功能
05-28
babel-plugin-as-macro JavaScript代码中宏的功能。动机当我使用,我想使用模块进行国际化。 但是使用文件系统( fs模块)保存单词及其含义。 禁止导入使用文件系统的任何模块。 我发现的第一个解决方案是模块。 ...
sony vgn-y18c ACPI/5001电源管理驱动 part2
05-06
sony vgn-y18c ACPISNY5001驱动,IACPISNY5001。sony 索尼 vgn-y18c 笔记本驱动不好找,把我的原装驱动贡献出来。适当收取一点虚拟分,望谅解。
成功解决使用import或from...import...导入文件时报错
Mamdanni的博客
11-08 2746
出现问题如图所示: 解决方案: 右击python文件所在的文件夹-->找到下方”Mark Directory as“-->点击”Sources Root“ 即可解决,如下图。
使用i18n实现页面国际化
LH9898的博客
05-08 1万+
页面引用的插件 以下是页面引用的js /** * 设置语言类型: 默认为中文 */ var i18nLanguage = "zh-CN"; /* 设置一下网站支持的语言种类 zh-CN(中文简体)、en(英语) */ var webLanguage = ['zh-CN', 'en']; //获取网站语言 function getWebLanguage(){ //
什么是i18n?
yuna4621005的专栏
06-13 3236
i18n是internationalization(国际化)的缩写,首位的i和末尾的n之间有18个字母,所以就简写为i18n了;同样的道理l10n是localization(区域化)的缩写。I18N和L10N深度探险预备知识:无论是I18N还是L10N,从技术角度简单地说,其本质上都是字符编码的问题 
JS中常见的 “函数名 is not a function” 错误
热门推荐
weixin_40345099的博客
09-30 26万+
js中常见的错误,例如Uncaught TypeError: x is not a function 其原因除了函数本身有错之外,还有一种很奇怪的情况:函数本身没有错,但是运行时就是不能正常运行。这种情况与javascript的特性有关:变量与函数声明前置的优先级。 首先看代码: console.log(x) console.log(x()); var x=1; function x(){...
$ is not a function 的问题的解决方法
qq_34710612的博客
09-28 3万+
      这几天做项目,有一个突发的问题,就是明明jQuery导进去了,就是报错$ is not a function 的问题,我前段用的是easyUI,想要给日期赋值,每次都错误,慢慢一个一个的更改js,发现了和引入的js的先后顺序有关系,首先不管引入什么js,jquery这个必须放在首位,这样确保所有的文件都能成功,因为引进来很多的js,有时候很多东西都重复了,导致覆盖了原有的一些基本属性。...
工作笔记八——vue项目的多语言/国际化插件vue-i18n详解
袁杰Jerry
06-24 4万+
今天介绍vue开发中用的最多的国际化插件:vue-i18n。本文主要参考官网文档,并且结合项目实际需要做了些改进。欢迎围观。
vue中i18n的安装和几种和使用方式
m0_49016709的博客
04-21 2万+
vue+element+i18n在项目中配置多语言
Error (176310): Can't place multiple pins assigned to pin location Pin_101 (IOPAD_X34_Y18_N21) Info (176311): Pin SJXS[5] is assigned to pin location Pin_101 (IOPAD_X34_Y18_N21) Info (176311): Pin ~ALTERA_nCEO~ is assigned to pin location Pin_101 (IOPAD_X34_Y18_N21)
06-09
这个错误信息表明在您的设计中,有多个引脚被分配到了同一个引脚位置,导致冲突。具体地说,引脚 SJXS[5] 和引脚 ~ALTERA_nCEO~ 都被分配到了引脚位置 Pin_101 (IOPAD_X34_Y18_N21)。 要解决这个问题,您需要检查设计中这些引脚的分配情况,确保每个引脚都被正确地分配到唯一的引脚位置。如果需要,您可以重新分配这些引脚,或者重新安排其他引脚的分配,以避免冲突。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值