【React】 打包扫描出现高风险文件 YUI 版本太低 JSEncrypt

于 2024-05-15 18:18:07 发布
阅读量1.1k 收藏 4
点赞数 7
文章标签: react.js 前端 前端框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuxin_hello/article/details/138910912
版权

漏洞定位

扫出漏洞的情况,多是在说下面几个工具:

  1. jquery

  2. js-cookie

  3. jsencrypt

参考链接

YUI:2.9.0 (Link) http://www.cvedetails.com/cve/CVE-2012-5883/

1.于是在打包后的代码中搜索 YUI(不区分大小写,不进行全字匹配),果然搜到了一段注释:

2.认了这个事情,接下来就容易多了。这明显不是我的代码,那就在 node_modules 中继续搜索,最终在 jsencrypt 下查到了这段注释:

3.用 npm 安装到项目得jsencrypt是没有压缩的,里面包含YUI, 打包之后会出现这种文件;

现在可以总结出:

  1. 漏洞的原因是 YUI 2.9.0 版本存在安全漏洞
  2. 安全软件扫描的依据是注释中包含 yui 的版本号

解决方案:使用压缩后(不含注释)的文件

npm 安装了jsencrypt后 不要直接引入:

 // ERROR
 import jsencryptf rom 'jsencrypt'

jsencrypt包中导入默认的导出。这通常意味着你正在导入一个未压缩的、更易于阅读或调试的版本,或者是该包开发者认为对于大多数用途来说最合适的版本。

具体导入了什么取决于jsencrypt包的package.json文件中的 main字段,该字段指定了当使用包名作为导入路径时应导入哪个文件。

        1.使用具体的文件路径导入 jsencrypt.min 文件

        2.从jsencrypt包的bin子目录中的jsencrypt.min文件导入JSEncrypt

        3.这通常意味着你正在导入一个压缩(可能是最小化)的版本,用于生产环境,因为它的大小可能更小,加载速度更快;

        4.但是,由于它是压缩的,所以源码可能不太容易阅读或调试;

        5.文件大小:使用.min后缀的文件通常是压缩过的,因此文件大小可能更小;

// SUCCEED
import JSEncrypt from 'jsencrypt/bin/jsencrypt.min'

最后

要注意的是,不是所有的包都会提供压缩和未压缩的版本,或者可能会使用不同的方法来区分它们(例如,通过环境变量或构建配置)。因此,最好查看特定包的文档来了解如何正确使用它。

凉生阿新
关注
yui_2.9.0前端UI
01-08
YUI 库,全称Yahoo! UI Library。是一组工具和控件,用JavaScript写成, 为的是用DOM 脚本,DHTML和AJAX等技术创建丰富的网页交互式应用程序。 YUI 基于BSD协议,对所有的使用方式都是免费的。YUI 项目包括YUI 库和两个创建时工具: YUI Compressor (压缩) 和 YUI Doc (JavaScripts代码的文档引擎)。
已解决,无法找到模块“jsencrypt/bin/jsencrypt.min”的声明文件
最新发布
m0_61848095的博客
08-06 554
一般是下载对应的ts版本,但是我这个没有对应的ts版本,我就自己写了申明,最开始没生效,结果发现需要放在src文件里面才行。
yui2 datatable转换至yui3 (3)
/(^O^)/
08-10 1137
<br /> 实际上到上文为止,我们已经得到一个可用的DataTable。用稍微调整过的两个例子:<br />dt_dynamicdata_clean.html<br />dt_formatting_source.html<br />均可得到正确结果。画面不再截图。<br /> <br />接下来当然是往前再迈进。开始吸收yui3的部分。即:将原有的datasource抛弃,吸纳yui3的datasource<br />作为数据处理层。<br /> <br />首先,要做这个事情的原因:<br /> <br
GITHUB上的一些DevSecOps
qq_44005305的博客
01-31 237
最近一直在完善自己的扫描器和攻击链,所以也一直在GITHUB上看自动化的一些知识,脑壳痛看起来比较优秀的如下,本人只推荐哈DefectDojoDefectDojo 是一个安全编排和平台。DefectDojo 允许您管理您的应用程序安全程序,维护 产品和应用信息、分类漏洞和 将结果推送到 JIRA 和 Slack 等系统。DefectDojo 丰富并 使用许多启发式算法来优化漏洞数据,这些算法 随着您使用该平台的次数越多越好。github;搭建好的运行截图如下。
Vue 项目安全扫描漏洞,JS版本太低,要求升级 YUI,过程总结
皮蛋很白的博客
04-07 1万+
检测到目标站点存在javascript框架库漏洞 - YUI2版本引发的安全漏洞解决方案
YUI 2 存在SWF漏洞,YUI 3 不受影响
weixin_34334744的博客
10-31 835
雅虎YUI开发团队在博客中称,已经确定在自托管YUI 2 SWF文件中存在一个安全漏洞。 以下版本不受该漏洞影响: 通过http://yui.yahooapis.com或其他CDN获得YUI 2的用户不受影响 YUI 3用户不受影响 YUI SWF提供了一个在网页中嵌入Adobe Flash player的标准方法。 雅虎YUI开发团队建议,在服务器上托管YUI 2 SWF文件的用户,或者使用2....
react——利用jszip实现文件批量下载并打包成zip文件
ass_ace
06-15 4028
本文章主要记录利用jszip实现文件批量下载图片,文档。mp3,视频(MP4)等文件,一般而言前端实现下载功能一般都是通过a链,这在下载单个文件的场景很实用,但如果是批量下载很多个文件,同样也可以用a链接实现但是 ...
React 项目打包文件体积过大,网页加载速度慢的问题。(gzip的使用)
热门推荐
Wu_shuxuan的博客
03-21 1万+
react项目中利用dva脚手架,roadhog打包工具打包后只生成了一个index.css 和 index.js 。所有的 js文件打包在了一个 index.js 文件中,所以这个文件有1.1M。部署到服务器上,首次访问首页加载的会特别慢,这样会流失很多的用户。 解决办法: gzip 压缩。 GZIP编码是一种用来改进WEB应用程序性能的技术。大流量的WEB站点常常使用GZIP压缩技术来...
yui2.9
03-28
NULL 博文链接:https://lsqwzz.iteye.com/blog/1228250
YUI类库2.9.0下载download
05-10
YUI 2 is a JavaScript and CSS library with more than 30 unique components including low-level DOM utilities and high-level user-interface widgets. Currently at version 2.9.0, YUI 2 is robust, proven, time-tested, and extensively documented. Choose from the download options below or configure your implementation using the Dependency Configurator.
jsencrypt.min.js
01-04
前端需要用到的RSA数据加密工具包
react-一个简易的React组件库
08-14
一个简易的React组件库,包含日期、日历、关联选择、树形列表、下拉选框、多级联动、提示等等
yui_2.9.0用于javascript基础教程
04-11
适合图灵程序设计丛书web开发系列-javascript基础教程的学习使用
React项目打包 优化详解
weixin_58207509的博客
11-21 2594
项目打包和优化-项目打包 目标:能够通过命令对项目进行打包 步骤: 在项目根目录打开终端,输入打包命令:npm run build 等待打包完成,打包后的内容被放在项目根下的 build 文件夹中 项目打包和优化-项目本地预览 目标:能够在本地预览打包后的项目 步骤: 全局安装本地服务包:npm i -g serve,该包提供了 serve 命令,用来启动本地服务 在项目根目录中执行命令:serve -s ./build,在 build 目录中开启服务器
react接收后端文件_React 文件流实现文件下载
weixin_39849054的博客
12-20 4261
同种方法-两种方案:第一种:页面上自己手动添加a标签第二种:js自动生成a标签(推荐第二种)今天在react项目开发过程中,有这样的一个需求就是文件下载。自己认为:通过接口请求后端发给返给自己的会是一个文件下载的地址或者路径什么的,只要把这个地址赋值给a链接即可实际情况:后端发给我的是一端文件流,那么就是需要们自动去解析文件流,然后把解析出来的数据,通过a标签进行下载第一种方案://点击文件下载o...
关于React Native Android打包报Duplicate resources错的解决方法
xiangzhihong8的专栏
04-05 3093
最近,在给React Native 项目打包的时候遇到如下异常提示: Error: Duplicate resources 此错误的意思是某些资源文件重复,首先尝试了手动删除重复的资源文件,然后再打包。不过,手动删除比较麻烦,且容易出错,下面推荐另外的一种解决方法。 首先,找到工程目录下 【node_modules】 ->【 react-native 】-> 【react.gradle 】文件; 其次,在该类的 doFirst 代码块后添加如下代码块。 图中涉及的代码如下:
react打包文件404
06-10
React应用程序的打包文件在部署到Web服务器上时,可能会出现404错误的情况。这通常是由于以下原因导致的: 1. 部署路径配置错误:如果您在将React应用程序部署到Web服务器上时,没有正确配置应用程序的部署路径,那么浏览器在请求应用程序的打包文件时可能会找不到文件,从而导致404错误。请确保应用程序的部署路径正确配置,包括文件路径和URL路径。 2. Web服务器配置错误:如果您的Web服务器没有正确配置文件类型和MIME类型,那么浏览器在请求应用程序的打包文件时可能会返回404错误。请确保您的Web服务器已正确配置文件类型和MIME类型,特别是对于JavaScript和CSS文件。 3. 打包文件路径错误:如果您在将React应用程序打包时,没有正确配置打包文件的路径和URL路径,那么打包文件可能会被放置在错误的位置,从而导致浏览器在请求文件时返回404错误。请确保您正确配置打包文件的路径和URL路径,并将打包文件部署到正确的位置。 4. 缓存问题:如果您的浏览器缓存了旧的打包文件,那么浏览器在请求文件时可能会返回404错误。请尝试清除浏览器缓存并重新加载页面。 针对以上原因,您可以逐一排查并解决。如果问题仍然存在,您可以查看Web服务器的日志文件,以了解更多有关404错误的详细信息,从而更好地解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值