Javascript npm漏洞对前端是否重要？_Javascript_Node.js_Security_Npm_Single Page Application

Javascript npm漏洞对前端是否重要？

javascript node.js security npm

Javascript npm漏洞对前端是否重要？,javascript,node.js,security,npm,single-page-application,Javascript,Node.js,Security,Npm,Single Page Application,当运行命令“npm install”或“npm audit”时，我通常会收到程序包漏洞的通知。在我的例子中，我只对Javascript客户端使用npm包，并将其作为SPA（单页应用程序）发送给我的用户是否存在影响npm的UI/UX实现的安全漏洞，或者这些消息仅适用于在节点服务器上使用npm包的情况以下是我运行“npm审核”的示例：是的，这很重要以前有人试图通过前端代码潜入恶意软件。到目前为止，它是通过感染广告服务器或类似的东西，比如使用JSONP的API。但这可以通过感染npm上的模块来

当运行命令“npm install”或“npm audit”时，我通常会收到程序包漏洞的通知。在我的例子中，我只对Javascript客户端使用npm包，并将其作为SPA（单页应用程序）发送给我的用户

是否存在影响npm的UI/UX实现的安全漏洞，或者这些消息仅适用于在节点服务器上使用npm包的情况

以下是我运行“npm审核”的示例：

是的，这很重要

以前有人试图通过前端代码潜入恶意软件。到目前为止，它是通过感染广告服务器或类似的东西，比如使用JSONP的API。但这可以通过感染npm上的模块来实现

通过修改模块的代码，可以公平地使用（允许他们使用其他人的比特币）。这是一个相当微妙和漫长的操作，黑客首先自愿修复bug，然后帮助维护库，最后请求成为首席维护者

EventStream是一个node.js专用模块，因此它不是前端。但是有人可能会悄悄地添加代码来修改诸如

Math.random

或

window.fetch

之类的内容，从而秘密地改变您的逻辑或窥探您的通信

如果该漏洞被发送到浏览器代码中，您应该调查它是什么，以及它是否与您的应用程序有关

如果该漏洞只影响开发人员工具（例如css预处理器或像

gulp

）这样的构建系统），那么它并不重要，因为它只在构建或调试项目时执行。

是的，它们有时确实很重要。您只需阅读该建议，并弄清楚它是否适用于您如何使用它。DoS和代码注入可能相当严重。您应该评估并检查这些风险是否可以接受——可能是该漏洞存在于API的某个特定部分中，您没有使用，或者可能存在于代码中没有的某些特定用法中。或者，你可能会觉得这是极不可能出现的。尽管如此，它们仍然是漏洞，对它们熟视无睹可能是不好的。不过，我认为只有在后端使用节点包时，DoS才会成为问题。因此，从本质上讲，这些消息可能包含前端实现的漏洞？我想，如果（出于某种原因）您曾经错误地将

节点\u模块

文件夹上载到可公开访问的文件夹中，这也很重要。