>过时的JavaScript库:安全风险您不能忽略 钥匙要点:
我(失败的)黑客尝试 包括不安全的第三方代码
结论:主动依赖管理是关键 经常询问有关JavaScript依赖关系的问题(常见问题解答) 什么是JavaScript依赖项?
JavaScript依赖性是外部代码或您的项目需要运行的库。 它们包括框架(反应,角),公用事业(Lodash,Moment)和较小的模块。诸如NPM和纱线之类的软件包经理管理这些。
为什么保持最新JavaScript依赖性很重要?
使用 使用 javascript中的package.json文件是什么?
javaScript中的锁定文件是什么?
读取发行说明,相应地更新您的代码,然后使用全面的测试。
>最近分析133,000个网站的一项研究显示了一个惊人的统计数据:37%的人加载了不安全的JavaScript,通常是通过过时的图书馆或第三方服务。 这项研究“您不依赖我”,强调了使用过时的流行库(如Angular和Jquery)的脆弱性。 这促使我亲自调查了潜在的安全风险。>我试图利用过时的jQuery版本来违反我自己的网站。虽然我发现了有记录的跨站点脚本(XSS)漏洞,但事实证明,利用比预期的要少,类似于通过
>使用SRI哈希发电机为您自己的资源创建哈希。>维护更新的JavaScript依赖关系是应用程序安全的关键方面。 虽然在小型项目中可管理,但它需要专门的工具和流程作为项目规模。 过时的图书馆的风险很大,主动依赖管理应该是重中之重。 您对网络开发的这个关键但经常被忽视的方面有何看法? 在下面的评论中分享您的经验。
>
如何检查我的JavaScript依赖性是否最新?
>
npm-check-updates或YARN'Supgrade-interactive命令的工具。如何更新我的JavaScript依赖项?
npm update(或npm update <package-name></package-name>)或yarn upgrade>(或yarn upgrade <package-name></package-name>)。
>
>语义版本控制(例如1.2.3)表示变化的性质:主要(不兼容),次要(向后兼容的功能)和补丁(错误修复)。
package.jsonpackage.json中的依赖关系和dev依赖关系之间有什么区别?
运行时需要,而
(例如,测试框架)仅用于开发。
dependencies>锁定文件(例如,devDependencies,
如何处理JavaScript依赖项中的断裂变化?
package-lock.json>
yarn.lockJavaScript中的同行依赖性是什么?
以上是如何使JavaScript依赖关系保持最新?的详细内容。更多信息请关注PHP中文网其他相关文章!
