- 1天津中医药大学全新的毕业设计题目推荐50例
- 2浅谈Android实现圆形头像效果的几种思路和方法_安卓 自定义圆形头像,展示长方形图像
- 3linux arm 相机,基于ARM和LINUX的嵌入式CCD相机采集系统研究
- 4【软件安装故障排除】安装完PyCharm,启动时弹出“Failed to load JVM DLL\bin\server\jvm.dll“解决方案
- 5Spring Boot整合actuator实现监控管理
- 6【自动驾驶传感器融合系列】01自动驾驶中常用的传感器_目标跟踪的传感器有哪些
- 7ethers.js常用的操作方法
- 8深度学习在自闭症谱系障碍神经成像诊断和康复中的应用_aal图集
- 9初学者入门|一文带你读懂Kubernetes_kubemetes是由apache基金会发起,也是当前非常流行容器管理平台,它不仅仅想管理容
- 10【python】时间与时间戳互相转换_python 时间戳转换
前端安全——最新:lodash原型漏洞从发现到修复全过程_lodash 4_lodash versions prior to 4.17.21 are vulnerable to
赞
踩
3. 修复漏洞
在理解了漏洞如何出现的情况下,下面我们要做的就是修复漏洞了。到这里,有些人可能就明白了,既然原型污染漏洞是由于lodash版本过低导致的,那我直接将package.json中lodash版本库改为最新的4.17.21不就行了。别急,下面我们循序渐进,由浅入深的理解并修复这个漏洞。
tips:以下操作前请做好项目备份
3.1 直接版本升级解决
假如你的项目很简单,并且package.json也很直观的显示了引入的lodash版本低于4.17.12,那么大概率直接修改版本就解决了。如果修改解决不了,可以试试修改版本号后。
删除node_modules和package-lock.json,重新npm install一下
3.2 子依赖lodash问题解决
上面的情况是最好的情况,也是最简单的情况,但是实际上,我们遇到的问题可能比这个复杂的多。因为lz发现,本地前端项目package.json根本就没有引入lodash依赖。
这种情况下,上面那种方法就很明显行不通了,版本都没引入更遑论改版本了,那么,问题来了。既然没有引入lodash.js,那么**_.defaultsDeep方法又是哪来的呢。经过我的排查,终于发现,在package-lock.json文件下,显示了引入了多个不同版本的lodash,正如我前面所说,lodash 作为一款非常流行的npm库,提供了很多的方法。所以也是很多第三方库的子依赖。我不引用它,不代表第三方库不引用它。而且从全局搜索来看,引入的地方还挺多。因此也没法一个个改。经过学习了解,发现可以通过resolutions**指定子依赖版本。
在 npm 中,resolutions 字段通常用于解决依赖版本冲突的问题。当你使用 resolutions 字段时,你可以强制指定某个依赖包的版本,以确保项目中使用的依赖包版本符合你的要求。
{ "name": "my-project", "version": "1.0.0", "scripts": { "serve": "vue-cli-service serve", "build": "vue-cli-service build", "preinstall": "npx force-resolutions" }, "dependencies": { "element-ui": "^2.15.8", }, "resolutions": { "lodash": "4.17.21" }, "overrides": { "**/lodash": "4.17.21" }, }
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
overrides配置为resolutions的替补,要求npm 8以上。scripts下新增一条命令:
“preinstall”: “npx force-resolutions”
这条命令通常是为了在安装依赖包之前强制执行 force-resolutions 工具,以确保 resolutions 字段中指定的依赖版本得到正确安装。正常情况下,npm install的时候就会自动检测并执行了。
执行完之后,可以通过下面命令查看子依赖是否都已指定版本成功
npm list lodash
3.3. 追更溯源解决
不出意外的话,上面两种方法都用过之后,应该可能或许大概也许解决这个漏洞了吧,但是凡是总有例外,很明显。lz就是那个万里挑一的人才。我检测发现问题依旧存在,到这里,我的内心是抓狂的,我的身体是拒绝的。明明什么方法都用过了,为什么还会报错!为什么!!
直到我在控制台查看这个方法的调用源头:
等等,element-ui什么时候背着我引入了lodash.js,再到package-lock.json一看,它的子依赖中根本没有引入lodash依赖啊。但是在node_modules一查,发现lodash.js文件确实存在,而其中的关键方法safeGet方法也确实存在漏洞。好家伙,梦里寻他千百度,蓦然回首竟是官方在犯错。
不信邪的我特意去看了下官方依赖,结果果然不出所料,这个老⑥
关键element-ui这里2.15.14版本还是最新的。想想真恐怖,所以最后的解决方法就是更新下element-ui版本。2.15.8版本没有引入lodash.js。
4. 结束语
一、网安学习成长路线图
网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
二、网安视频合集
观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
三、精品网安学习书籍
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
四、网络安全源码合集+工具包
光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
五、网络安全面试题
最后就是大家最关心的网络安全面试题板块
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
