Vue打包扫描存在中危风险过期的YUI版本

最新推荐文章于 2024-05-28 10:23:47 发布
最新推荐文章于 2024-05-28 10:23:47 发布
阅读量7.1k 收藏 6
点赞数 3
分类专栏: vue 文章标签: vue.js javascript html5 node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43834227/article/details/114677801
版权

Vue打包扫描存在中危风险过期的YUI版本

我司安全部门反馈一个问题:
"
1个中危风险 过期的YUI版本 当前版本2.9.0 包含1个中危漏洞 风险位置 com/static/js/chunk-libs.62eeccfc.js"
搜索整个项目并没有发现使用到YUI ,最终在某个博客发现了原因,感谢博主!博客链接
项目中使用了rsa加密jsencrypt,用npm 安装到项目的jsencrypt是没有压缩的,里面包含YUI打包之后会出现这种文件。
在这里插入图片描述
在这里插入图片描述
所以这个时候引用jsencrypt.min.js压缩包就不会出现这个问题了。
在这里插入图片描述

找到问题动手修改吧。
1.将package.json 里的 jsencrypt 删掉,node_modules里的包也删掉
在这里插入图片描述
2.在index.html 里引入jsencrypt.min.js
在这里插入图片描述
3.在引入jsencrypt 的地方删掉引入,已经在html中全局引入了

在这里插入图片描述

完成

手把手教你如何Vue项目打包dist文件并Tomcat发布【超级详细】
**My Coding Family**
03-24 9833
零基础带你入门Vue项目打包部署到Linux服务器,一条龙服务,只为不远千里把你教会。
vue中组件的props属性(详)
热门推荐
蜗牛~~
10-28 18万+
今天这篇文章,让你彻底学会props属性…… props主要用于组件的传值,他的工作就是为了接收外面传过来的数据,与data、el、ref是一个级别的配置项。
【React】 打包扫描出现高风险文件 YUI 版本太低 JSEncrypt
day day up
05-15 1624
漏洞的原因是 YUI 2.9.0 版本存在安全漏洞, 安全软件扫描的依据是注释中包含 yui版本
Vue打包扫描提示存在风险过期YUI版本
小白变怪兽
10-16 1119
YUI版本太低,存在漏洞问题
GITHUB上的一些DevSecOps
qq_44005305的博客
01-31 336
最近一直在完善自己的扫描器和攻击链,所以也一直在GITHUB上看自动化的一些知识,脑壳痛看起来比较优秀的如下,本人只推荐哈DefectDojoDefectDojo 是一个安全编排和平台。DefectDojo 允许您管理您的应用程序安全程序,维护 产品和应用信息、分类漏洞和 将结果推送到 JIRA 和 Slack 等系统。DefectDojo 丰富并 使用许多启发式算法来优化漏洞数据,这些算法 随着您使用该平台的次数越多越好。github;搭建好的运行截图如下。
yui_2.9.0前端UI
01-08
YUI 库,全称Yahoo! UI Library。是一组工具和控件,用JavaScript写成, 为的是用DOM 脚本,DHTML和AJAX等技术创建丰富的网页交互式应用程序。 YUI 基于BSD协议,对所有的使用方式都是免费的。YUI 项目包括YUI 库和两个创建时工具: YUI Compressor (压缩) 和 YUI Doc (JavaScripts代码的文档引擎)。
Vue 项目安全扫描漏洞,JS版本太低,要求升级 YUI,过程总结
Innocence_0的博客
04-16 2582
公司信安部门对项目进行安全扫描,查出一些漏洞,其中有一项要求升级 javascript 框架库(如图):![在这里插入图片描述](https://img-吓得我以为让我把 Vue2 升级成 Vue3。经过一番询问后才知道,是工具包中依赖的 YUI存在安全漏洞的版本
Vulnerable Javascript library
笑到世界都狼狈的博客
06-25 1万+
首先说明一下,这个问题的由来:源于我们开发的项目送去上海检测,结果送检没通过,被打回来了,返回的结果有这么一条:Vulnerable Javascript library 然后字面翻译就是"脆弱的js",对于小白的我来说,从来没遇到过这个问题,然后就赶紧百度,百度返回的结果是---------js插件库版本太低,升级就好了。 那么问题来了,项目中用到那么多插件,总不至于让我把所有的插件都升级一遍吧,这样可能会死人的。。。。。 接下来:我们部门做底层开发的同事安装了一下叫"nessus"的工具,帮我扫描
vue打包获取动态的版本
vip.khan的博客
09-18 2263
我们在网站上线后,每次更新线上的内容,是不是都会出现一个问题:那就是不知道线上代码是否更新成功。 那么后面的问题随之而来,如果每次打包的时候都去修改版本号,是不是很麻烦呢?如果我们打包的时候自动获取时间作为版本号或者自己写个版本号自动计算的公式,是不是就方便很多呢? 当然版本号的格式可能每个网站要求不同,那就要自己去写函数获取了,我们今天要解决的问题是怎么把这个动态的版本号在打包的时候写入系统,每次打包都是最新版本的。 vue的工程项目都有一个开发环境(.env.development)和生产环境(.
vue打包部署到springboot并生成war包
最新发布
u014694915的博客
05-28 2548
项目是基于前后端分离的仓库管理系统后端前端。
yui_2.9.0用于javascript基础教程
04-11
适合图灵程序设计丛书web开发系列-javascript基础教程的学习使用
yui2.9
03-28
NULL 博文链接:https://lsqwzz.iteye.com/blog/1228250
Vue3通透教程【十七】Vite构建TS版本Vue项目
官方推荐
07-10 4万+
本系列将带领大家学习Vue3+TS+vite构成的前端工程化内容,本篇文章重点带领大家搭建Vue3+Ts版本项目!
YUI 3:更轻,更快,更易于使用
06-19 173
2008年8月, 雅虎的用户界面团队发布YUI 3,第一预览版 (下周的第一个beta版发布的是由于一些时间!)YUI的从地上爬起来完全重写。 他们为什么会改写已经有用的和成熟的库中,你可能会问? 那么,作为YUI 2的成熟,在它被建造的方式也发生了变化。 其结果,即存在从开始锐的部件在完全不同的方式从被上后增加的部分进行编码。 其结果是,该库包含的矛盾 - 无论是在内部机制和API。 因此...
检测到目标站点存在javascript框架库漏洞 (随手记录)
张小胖
10-12 1万+
问题总结: js-cookie 系列解决问题 vue项目里面引用了js-cookie用来存放登录的一些信息了。删除js-cookie重新打包就可以了。至于页面上的数据,那就存放在localstroge就行。 具体用法: var storage=localStorage; // 存放数据 storage.setItem("key",value); // 根据key获取数据 storage.getItem("key"); // 根据key删除数据 storage.removeItem("ke.
雅虎宣布停止开发开源的JavaScript工具库YUI
09-09 539
雅虎官方博客宣布终止开发开源的JavaScript工具库Yahoo User Interface library (YUI)。 雅虎开发者解释说,行业趋势发生了改变。过去几年,Web平台经历了激烈变革,相比以前如今的JavaScript几乎是无处不在。Node.JS的出现 允许JavaScript在服务器端使用, 以及新的包管理器如npm,构建工具如Grunt,应用程序框架,测试工具等的出现,
http://yui.github.io/yui2/docs/yui_2.9.0_full/reset/index.html#code
robert198837的专栏
02-27 1177
http://yui.github.io/yui2/docs/yui_2.9.0_full/reset/index.html#code
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值