我认为使用NPM软件包管理器观看一个不错的YouTube视频,其中提到了安全问题,我认为禁止软件包在安装时执行代码是有道理的。此NPM配置将执行以下操作:
npm config set ignore-scripts true
但是随后定义的脚本package.json无法运行。包括npm start。真烦人
有没有一种方法可以阻止程序包执行代码(如果我没有记错的话,我认为这是安装后的脚本),并且仍然允许其中定义的脚本package.json运行?
只是要清楚:我DO要执行我自己的脚本。我不要想在一个执行的第三方脚本npm install。
在npm-install文档中指出:
该
--ignore-scripts参数将导致npm不执行package.json中定义的任何脚本。
因此,实质上,在安装软件包时,您需要附加--ignore-scripts参数以防止第三方软件包执行脚本,例如postinstall。
例如:
npm install <pkg_name> --ignore-scripts
笔记:
我认为在安装软件包时禁止软件包执行代码是有意义的。
这取决于,当使用--ignore-scripts参数忽略脚本时,您不能始终保证已安装的软件包将完全起作用-例如,这取决于在postinstall脚本中执行的任务。
--ignore-scripts参数忽略哪些脚本。本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句