问题描述
[email protected] 包中存在高度严重的问题。我无法想象为什么这是一个高问题,以及攻击者如何利用这一点对网站造成一些损害。有人可以举更多例子吗?或者也许更详细地解释以帮助我理解。谢谢。
链接: https://snyk.io/test/npm/uglifyjs-webpack-plugin/2.2.0?tab=issues
我尝试编写以下代码,但我仍然不明白为什么这是一个很大的安全问题。
const serialize = require('serialize-javascript');
let result = serialize({"foo": /1" + console.log(1)/i,"bar": '"@__R-<UID>-0__@'})
console.log(result);
result = eval('(' + serialize({"foo": /1" + console.log(1)/i,"bar": '"@__R-<UID>-0__@'}) + ')');
console.log(result);
控制台日志
{"foo":/1" + console.log(1)/i,"bar":"\"@__R-\u003CUID\u003E-0__@"}
{ foo: /1" + console.log(1)/i,bar: '"@__R-<UID>-0__@' }
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)