问题:
运维同事告知,项目被扫描出来漏洞,js文件vendors.bundle.82e088f0.js 存在高风险YUI版本太低。
解决过程:
查询后发现确实存在
后来查到此段代码在 jsencrypt.js文件中
import JSEncrypt from 'jsencrypt';
修复:
之前的是通过npm引入的jsencrypt依赖包,现在改成直接引用jsencrypt的压缩包,具体做法是在node_modules里找到jsencrypt文件,文件下的bin里面有jsencrypt.min.js,把jsencrypt.min.js单独拎出来引用即可。
import JSEncrypt from 'jsencrypt/bin/jsencrypt.min';
加密过程
(1)A生成一对密钥(公钥和私钥),私钥不公开,A自己保留。公钥为公开的,任何人可以获取。
(2)A传递自己的公钥给B,B用