ua-parse-js破绽呈现和解决

收到各个群的音讯以及邮件告诉

破绽和问题，如下截图所示：

前面看到npm上也有阐明，把有问题的版本以及打补丁的版本都列出来，高深莫测。
如下截图所示：

疾速解决问题

首先须要晓得本人的我的项目，是否有援用ua-parser-js包。

步骤：
1、查看我的项目的根目录下的package.json。
一眼看完，是没有援用的。

2、查看node_modules目录下的依赖包。
搜寻了下，发现还真有。
如下截图所示：

那是不是就慌了？
其实不必，不论是否有问题，都是要解决的。

尽管能搜到有援用，但还须要进一步看看是哪个包援用，怎么援用。

查看了代码的援用关系链，具体如下所示：
steam-http依赖ua-parser-js
node-libs-browser依赖steam-http
eslint-import-resolver-webpack依赖node-libs-browser
@vue/eslint-config-standard依赖eslint-import-resolver-webpack

也就是steam-http这个包依赖了ua-parser-js，但其版本不是有问题的版本。
而且是在devDependencies中援用的，那必定不会在打包后的代码外面了。

3、通过npm list xxx查看
的确是没有装置ua-parse-js的。
如下截图所示：

stream-http的依赖跟下面搜寻进去的差不多，也是没有援用ua-parser-js的。
如下截图所示：

也能够通过npm list --all，查看我的项目下的所有包依赖状况。
拷贝到文本中，全局搜寻后，是找不到ua-parse-js的。
如下截图所示：

另外，也能够通过上面两种办法来查看

1、通过查看yarn.lock文件
也是没看到ua-parser-js的。

而且stream-http下也没有ua-parsre-js。
如下截图所示：

2、通过grep命令来查看
grep -rnw . -e 'ua-parser-js' --include={yarn.lock,package-lock.json,package.json}

那这个steam-http为啥会援用ua-parser-js呢？

通过在stream-http代码搜寻，发现ua-parser-js是在stream-http的test目录下的，node_modules目录下是没有的。
如下截图所示：

这个test文件夹是依赖包做测试用的。不会被引入到依赖stream-http的我的项目中。

其余

版本号后面的^

尽管当初没援用ua-parse-js，但假如援用了，但援用的版本不是有问题的版本，而是^0.7.18版本，那会不会有问题呢？

还是有问题的，尽管以后的版本不受影响，但一旦降级，就会更新到0.7.29版本，而这个版本是有问题的，所以降级的时候要指定版本号。

然而npm官网曾经去掉了有问题的版本，所以更新后只能到0.7.30版本，也就是不会降级到有问题的版本了。

ua-parser-js破绽是如何执行恶意代码的？

是因为package.json外面的scripts字段。在npm install的时候，会执行一段payload。

npm install是有生命周期的。也执行的之前，会先执行什么，执行之后继续执行什么命令。

比照下有问题的代码，就一清二楚了。
如下截图所示：

最初

公众号《毛毛虫的小小蜡笔》

有疑难和问题，请留言。

如果感觉文章还能够，请点赞或珍藏，谢谢。