我在我的 Node 服务器中使用express v4.16.4。
它已引入 cookie-signature v1.0.6。
我想将 cookie-signature 升级到 v1.1.0,因为它有我需要的修复。 有什么方法可以做到这一点?
我认为我不应该执行 npm install cookie-signature@1.1.0 因为它会在我的应用程序依赖项中列出 cookie-signature。
编辑:this讨论了我想要解决的完全相同的问题。接受的答案是使用 npm-shrinkwrap ,另一个投票最高的答案是使用 package-lock.json ,但这两个答案似乎都存在各自评论中讨论的问题。
很高兴将其作为重复项关闭。
最佳答案
您还可以通过在 package.json
中添加 resolutions
键来“强制”某些版本的依赖项来解决该问题:
{
"resolutions": {
"cookie-signature": "^1.1.0"
}
}
要真正利用它,您必须在预安装
中使用npm-force-resolutions
:
"scripts": {
"preinstall": "npx npm-force-resolutions"
}
请参阅此帖子了解更多信息:https://itnext.io/fixing-security-vulnerabilities-in-npm-dependencies-in-less-than-3-mins-a53af735261d
关于node.js - NPM 如何更新/升级传递依赖?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/56634474/