对于使用纱线的人。

我尝试使用npm收缩膜，直到我发现纱线cli忽略了我的npm收缩膜。json文件。

Yarn有https://yarnpkg.com/lang/en/docs/selective-version-resolutions/。整洁。

看看这个答案:https://stackoverflow.com/a/41082766/3051080

用完全不同的包进行嵌套替换

如果你只是对覆盖包的版本号感兴趣，其他答案中列出的大多数策略都很有效，但在我们的例子中，我们需要找到一种方法，用不同的包覆盖嵌套的npm子依赖项。关于你为什么想要这样做的详细信息，请参考以下问题:

如何重写一个嵌套的npm子依赖与完全不同的包(不仅仅是不同的包版本号)?

直接指定tarball

对于使用其他人提到的npm-force-resolutions策略将一个包嵌套替换为一个完全不同的包，您只需要提供一个指向tarball的链接，通常在该链接中指定覆盖版本号。

以替换易受攻击的包ansi-html为例，使用此包的固定分支ansi-html-community，即包的决议部分。Json应该是这样的:

"resolutions": {
    "ansi-html": "https://registry.npmjs.org/ansi-html-community/-/ansi-html-community-0.0.8.tgz"
}

要找到到tarball的链接，使用以下命令，并根据需要修改注册表:

npm view ansi-html-community dist.tarball --registry=https://registry.npmjs.org/

另外，要让npm-force-resolutions在你运行npm install时正常工作，你需要在package.json的scripts部分下有一个preinstall入口:

  "scripts": {
    "preinstall": "npx npm-force-resolutions"
  }

我有一个问题，其中一个嵌套依赖项有npm审计漏洞，但我仍然想维护父依赖项版本。npm的收缩膜解决方案不适合我，所以我所做的是覆盖嵌套的依赖版本:

删除package-lock.json中'requires'部分下的嵌套依赖项 在包的DevDependencies下添加更新的依赖项。Json，这样需要它的模块仍然能够访问它。 npm我

基于其余的答案，我提供了相同的解决方案，但是我显示了包。json，因为我有点纠结于在哪里放置覆盖以及如何放置。

{
  "name": "my-app",
  "version": "snapshot",
  "scripts": {
    "ng": "ng",
    "build-dev": "ng build --configuration development",
  },
  "private": true,
  "dependencies": {
    "@angular/animations": "~14.2.9",
    "@angular/common": "~14.2.9"
    ...
  },
  "devDependencies": {
    "@angular-devkit/build-angular": "^14.2.8",
    ....
  },
  "overrides": {  
    "loader-utils@>2.0.0 <3": "2.0.4",
    "loader-utils@>3.0.0 <4": "3.2.1"
  }
}

对于2022年11月的“loader-utils”安全漏洞，已被要求

如果您在2中，请使用2.0.4版本。X 如果您是3版本，请使用3.2.1版本。X

为了验证

添加包。Json覆盖标签 删除package-lock.json 执行"npm install" 执行“npm audit”

先运行这个

npm i -D @types/eslint@8.4.3

这将解决问题

对于使用纱线的人。

我尝试使用npm收缩膜，直到我发现纱线cli忽略了我的npm收缩膜。json文件。

Yarn有https://yarnpkg.com/lang/en/docs/selective-version-resolutions/。整洁。

看看这个答案:https://stackoverflow.com/a/41082766/3051080