我已经进行了一些研究,建议运行npm config set ignore-scripts false来避免来自npm的任何可能的恶意软件包。但是,运行该命令后,似乎阻止了npm run...命令在我的节点项目中工作,直到我将其重新设置为false为止。例如,我无法运行节点服务器并无法使用 npm run dev 命令同时响应客户端,从而使开发变得困难。有解决办法吗
答案 0 :(得分:4)
我认为您错过了一个想法,那就是忽略通过npm install安装的脚本(那里可能存在恶意发布者),因此使用npm config set ignore-scripts true将有助于确保您的安全,但是有些项目要使用自己的自定义脚本。
您可以使用本地版本的.npmrc覆盖上述配置,并自行手动更改ignore-scripts的值,我建议在运行npm install时将其设置为false,并且每当您要运行本地脚本时,将其设置为true。
请记住,如果您希望将.npmrc放在项目的根目录中,并且通常位于~/.npmrc进行全局配置。
有关.npmrc的更多信息,请检查https://docs.npmjs.com/configuring-npm/npmrc.html
希望这对您或将来的任何人有帮助!