如何解决使用 create-react-app 创建的应用程序中的 postcss 漏洞

Question

我在 1 个月前使用 create-react-app 创建了一个新应用程序，最近我从 npm update 收到了这条消息：

80 moderate severity vulnerabilities

To address issues that do not require attention, run:
  npm audit fix

To address all issues (including breaking changes), run:
  npm audit fix --force

npm audit 给我：

postcss  7.0.0 - 8.2.9
Severity: moderate
Regular Expression Denial of Service - https://npmjs.com/advisories/1693
fix available via `npm audit fix --force`
Will install react-scripts@2.1.8, which is a breaking change

我尝试 npm audit fix 但没有任何变化，并且 npm audit fix --force 安装了旧版本的 react-script（当前 4.0.3 到 2.1.8）所以它看起来不是一个好的解决方案。

npm install postcss@latest --save 和 npm install postcss@8.2.15 --save 也没有任何改变。

修复此漏洞的最佳方法是什么？

Answer 1

此问题已在此处得到解答：

对 postcss 8 的支持已经合并，可能很快就会发布

您可以使用 npm 包 npm-force-resolutions 暂时解决这个问题

Answer 2

我为此浪费了半天时间，所有基于 NPM 的解决方案和软件包都不起作用。强制解决方案对我不起作用。

切换到 Yarn 让这变得更简单。

rm -rf ./node_modules 
rm ./package-lock.json

编辑你的 package.json :
_{添加任何其他软件包版本以从 npm / yarn audit 升级}

  "resolutions": 
  {
    "postcss": "^8.2.10"
  },

yarn install 然后运行 yarn audit 应该产生神奇的词：

0 vulnerabilities found - Packages audited: 999
✨  Done in 1.10s.

如何解决使用 create-react-app 创建的应用程序中的 postcss 漏洞

how to solve postcss vulnerabilities in app create with create-react-app

npm

reactjs

create-react-app