npm 库 event-source-polyfill 在加载时弹出请愿书

2022-04-09 14:43:44 +08:00
 ChaosesIb

event-source-polyfill 是一个在 npm 每周约 50 万次下载的库,依赖此库的知名软件包括 Gatsby 等。这个库的 1.0.26 版本(亦即目前的最新版本)添加了一段代码,会在用户处于特定时区时弹窗显示一段文字,并打开一个联署页面

请 Gatsby 用户注意:Gatsby 的最新版本可能正在依赖 event-source-polyfill 1.0.26 (^1.0.25) 。

src: https://security.snyk.io/vuln/SNYK-JS-EVENTSOURCEPOLYFILL-2429580
CVSS (Snyk): 5.3

来源: https://t.me/outvivid/3526

1701 次点击
所在节点    前端开发
5 条回复
ChaosesIb
2022-04-09 14:50:17 +08:00
受影响时区:
```js
[
"Asia/Anadyr", "Asia/Barnaul", "Asia/Chita", "Asia/Irkutsk", "Asia/Kamchatka",
"Asia/Khandyga", "Asia/Krasnoyarsk", "Asia/Magadan", "Asia/Novokuznetsk",
"Asia/Novosibirsk", "Asia/Omsk", "Asia/Sakhalin", "Asia/Srednekolymsk", "Asia/Tomsk",
"Asia/Ust-Nera", "Asia/Vladivostok", "Asia/Yakutsk", "Asia/Yekaterinburg",
"Europe/Astrakhan", "Europe/Kaliningrad", "Europe/Kirov", "Europe/Moscow",
"Europe/Samara", "Europe/Saratov", "Europe/Simferopol", "Europe/Ulyanovsk",
"Europe/Volgograd", "W-SU"
].indexOf(new Intl.DateTimeFormat().resolvedOptions().timeZone)
```
gadfly3173
2022-04-09 16:06:20 +08:00
根据 issue 你还会发现在一些旧版本浏览器上会因为时区判断的逻辑导致异常
ljspython
2022-04-09 16:27:52 +08:00
感觉有病
reiji
2022-04-12 20:03:02 +08:00
npm 的社区信任在不断地被破坏
cslive
2022-04-14 10:43:28 +08:00
前端娱乐圈

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/845882

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX