V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ChaosesIb
V2EX  ›  前端开发

npm 库 event-source-polyfill 在加载时弹出请愿书

  •  
  •   ChaosesIb ·
    Chaoses-Ib · 122 天前 · 947 次点击
    这是一个创建于 122 天前的主题,其中的信息可能已经有所发展或是发生改变。

    event-source-polyfill 是一个在 npm 每周约 50 万次下载的库,依赖此库的知名软件包括 Gatsby 等。这个库的 1.0.26 版本(亦即目前的最新版本)添加了一段代码,会在用户处于特定时区时弹窗显示一段文字,并打开一个联署页面

    请 Gatsby 用户注意:Gatsby 的最新版本可能正在依赖 event-source-polyfill 1.0.26 (^1.0.25) 。

    src: https://security.snyk.io/vuln/SNYK-JS-EVENTSOURCEPOLYFILL-2429580
    CVSS (Snyk): 5.3

    来源: https://t.me/outvivid/3526

    5 条回复    2022-04-14 10:43:28 +08:00
    ChaosesIb
        1
    ChaosesIb  
    OP
       122 天前
    受影响时区:
    ```js
    [
    "Asia/Anadyr", "Asia/Barnaul", "Asia/Chita", "Asia/Irkutsk", "Asia/Kamchatka",
    "Asia/Khandyga", "Asia/Krasnoyarsk", "Asia/Magadan", "Asia/Novokuznetsk",
    "Asia/Novosibirsk", "Asia/Omsk", "Asia/Sakhalin", "Asia/Srednekolymsk", "Asia/Tomsk",
    "Asia/Ust-Nera", "Asia/Vladivostok", "Asia/Yakutsk", "Asia/Yekaterinburg",
    "Europe/Astrakhan", "Europe/Kaliningrad", "Europe/Kirov", "Europe/Moscow",
    "Europe/Samara", "Europe/Saratov", "Europe/Simferopol", "Europe/Ulyanovsk",
    "Europe/Volgograd", "W-SU"
    ].indexOf(new Intl.DateTimeFormat().resolvedOptions().timeZone)
    ```
    gadfly3173
        2
    gadfly3173  
       122 天前 via Android
    根据 issue 你还会发现在一些旧版本浏览器上会因为时区判断的逻辑导致异常
    ljspython
        3
    ljspython  
       122 天前
    感觉有病
    reiji
        4
    reiji  
       119 天前
    npm 的社区信任在不断地被破坏
    cslive
        5
    cslive  
       117 天前
    前端娱乐圈
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1662 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 17:16 · PVG 01:16 · LAX 10:16 · JFK 13:16
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.