npm 库 event-source-polyfill 在加载时弹出请愿书

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 959 天前的主题，其中的信息可能已经有所发展或是发生改变。

event-source-polyfill 是一个在 npm 每周约 50 万次下载的库，依赖此库的知名软件包括 Gatsby 等。这个库的 1.0.26 版本（亦即目前的最新版本）添加了一段代码，会在用户处于特定时区时弹窗显示一段文字，并打开一个联署页面。

请 Gatsby 用户注意：Gatsby 的最新版本可能正在依赖 event-source-polyfill 1.0.26 (^1.0.25) 。

src: https://security.snyk.io/vuln/SNYK-JS-EVENTSOURCEPOLYFILL-2429580
CVSS (Snyk): 5.3

来源： https://t.me/outvivid/3526

5 条回复 • 2022-04-14 10:43:28 +08:00

ChaosesIb

2022-04-09 14:50:17 +08:00

受影响时区：
```js
[
"Asia/Anadyr", "Asia/Barnaul", "Asia/Chita", "Asia/Irkutsk", "Asia/Kamchatka",
"Asia/Khandyga", "Asia/Krasnoyarsk", "Asia/Magadan", "Asia/Novokuznetsk",
"Asia/Novosibirsk", "Asia/Omsk", "Asia/Sakhalin", "Asia/Srednekolymsk", "Asia/Tomsk",
"Asia/Ust-Nera", "Asia/Vladivostok", "Asia/Yakutsk", "Asia/Yekaterinburg",
"Europe/Astrakhan", "Europe/Kaliningrad", "Europe/Kirov", "Europe/Moscow",
"Europe/Samara", "Europe/Saratov", "Europe/Simferopol", "Europe/Ulyanovsk",
"Europe/Volgograd", "W-SU"
].indexOf(new Intl.DateTimeFormat().resolvedOptions().timeZone)
```

gadfly3173

2022-04-09 16:06:20 +08:00 via Android

根据 issue 你还会发现在一些旧版本浏览器上会因为时区判断的逻辑导致异常

ljspython

2022-04-09 16:27:52 +08:00

感觉有病

reiji

2022-04-12 20:03:02 +08:00

npm 的社区信任在不断地被破坏

cslive

2022-04-14 10:43:28 +08:00

前端娱乐圈