我在我的节点服务器中使用express v4.16.4。
它已引入 cookie-signature v1.0.6。
我想将 cookie-signature 升级到 v1.1.0,因为它有我需要的修复。
有什么方法可以做到这一点?
我认为我不应该进行 npm install[电子邮件受保护] /cdn-cgi/l/email-protection因为它会在我的应用程序依赖项中列出 cookie 签名。
EDIT: this https://stackoverflow.com/questions/15806152/how-do-i-override-nested-npm-dependency-versions讨论了我想要解决的完全相同的问题。接受的答案是使用 npm-shrinkwrap ,另一个投票最高的答案是使用 package-lock.json ,但这两个答案似乎都存在各自评论中讨论的问题。
很高兴将其作为副本关闭。
您也许还可以通过添加resolutions键入package.json“强制”某些版本的依赖项:
{
"resolutions": {
"cookie-signature": "^1.1.0"
}
}
要真正利用它,您必须使用npm-force-resolutions in preinstall:
"scripts": {
"preinstall": "npx npm-force-resolutions"
}
请参阅这篇文章以获取更多信息:https://itnext.io/fixing-security-vulnerability-in-npm-dependency-in-less-than-3-mins-a53af735261d https://itnext.io/fixing-security-vulnerabilities-in-npm-dependencies-in-less-than-3-mins-a53af735261d
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
