安装时dou需要编译。

预计将在 年 月发布的：npm v12

升级到：

除了脚本。npm v12 还Zuo了一件大事。

说实话，咱就是说这次geng新挺让人意外的。

例如：

因为从这一刻开始。JavaScript 世界终于不再默认相信每一个陌生依赖了。

你的项目里有多少包的安装脚本在默默运行？你认真kan过吗？

害，你可Neng不知道，过去hen多年，npm 一直有一个被业内吐槽的问题：install 竟然会自动执行脚本

npm approve-scripts --allow-scripts-pending

即可提前检查风险。

各位互联网搭子，要是这篇文章成功引起了你的注意，别犹豫，关注、点赞、评论、分享走一波，让我们把这份默契延续下去，一起在前端的海洋里乘风破浪！

经过批准的依赖↓才Neng执行代码

影响Zui大的不是脚本，而是 Native 模块，hen多开发者kan到这里还没意识到问题有多大。

npm install = 下载代码执行代码 = 需要授权

这是完全不同的思维模式。 某种程度上。

当开发者执行：npm install

installpostinstallnode-gyp rebuild

未来Ru果没有授权。直接失败。

为啥百度不收录我的文章啊？是不是内容不够好？有人说是百度算法的问题，你懂的，可Neng它geng喜欢那些“热门”的内容吧。

postinstall 是 npm 生命周期脚本之一,它会在一个包安装完成后自动执行.当用户在其项目中安装某个包含 postinstall 脚本的依赖时,npm 会在安...

{ "dependency": "https://xxx.com/pkg.tgz"}

未来也会被拦截。

这是本次Zui重磅的变化。

未来默认禁止：

npm 推出了新的工作流：

简单来说以前 npm install 会自动执行脚本，现在不会了。 不对不对，应该是需要显式批准才行。 你可Neng会想，这有啥大不了的？ 但事实是这改变了整个 JavaScript 生态的安全模型。 无数开发者习惯了：npm install

,然后什么dou不想。但现实证明。这种便利背后隐藏着巨大的风险。

以前：默认信任未来：默认拒绝

,除非你主动批准。

npm approve-scripts

,先查kan有哪些包试图执行脚本。

,只要：npm install -g npm@latest,确保版本Zui新，你就Neng享受到新特性啦！新增 approve-scripts 机制 ,为了兼顾安全和兼容性。NPM智Neng卸载指南及历史版本控制解析..会员博问闪存Chat2DB所有博客当前博客我的博客我的园子账号设置会员中心注册ai888.wiki博客园首页新随笔联系当你运行NPM智Neng卸载指南及历史版本控制解析.. 大致的流程是:NPM智Neng卸载指南及历史版本控制解析. 向 registry(本地电脑的.NPM智Neng卸载指南及历史版本控制解析. 然后选择：,允许,或者：,,拒绝,