Composer默认不执行依赖包中的脚本以确保安全,仅运行根项目composer.json中定义的脚本;若需执行依赖脚本,必须在根项目中通过allow-plugins明确授权插件权限,且仅对可信包开放。
Composer 在安装或更新依赖包时,会读取每个包中的 composer.json 文件,其中定义的脚本(scripts)默认情况下不会自动执行。这是出于安全和控制的考虑,避免第三方包在未经允许的情况下运行任意代码。
依赖包中 scripts 的默认行为
当你通过 Composer 安装一个依赖包时,该包 composer.json 中定义的脚本(如 post-install-cmd、post-update-cmd 等)不会被执行。只有根项目(你的主项目)的 composer.json 中定义的脚本才会被触发。
例如,某个依赖包的 composer.json 包含:
{
"scripts": {
"post-install-cmd": "echo 'Hello from dependency!'"
}
}
这行脚本在你运行 composer install 时不会输出任何内容,因为它属于依赖项,Composer 忽略其脚本执行。
如何启用依赖包的脚本
如果你确实需要执行依赖包中的脚本(比如某些包文档明确要求),可以通过配置 Composer 的 allow-plugins 或使用 config 中的 disallow-plugins 控制,但更关键的是脚本执行权限机制。
从 Composer 2.2+ 开始,引入了插件脚本的显式授权机制。你需要在根项目的 composer.json 中明确允许某个包运行脚本:
{
"scripts": {
"post-autoload-dump": [
"Some\\Package\\Installer::run"
]
},
"config": {
"allow-plugins": {
"vendor/package-name": true
}
}
}
注意:allow-plugins 是用来控制是否允许某个包作为插件运行,而插件才能执行高级脚本逻辑。普通脚本仍受作用域限制。
何时会执行依赖包的脚本?
以下情况可能触发依赖包脚本:
例如,一些官方推荐的包(如 hirak/prestissimo、symfony/flex)是插件形式,安装后会在允许的前提下自动执行优化逻辑。
安全建议
Composer 默认不执行依赖脚本是为了防止恶意代码执行。你不应随意开启未知来源包的脚本权限。只对可信包设置 "allow-plugins": {"vendor/name": true}。
检查依赖包是否有潜在脚本行为,可查看其 composer.json 和文档说明,避免引入风险。
基本上就这些。Composer 对依赖脚本的处理是“静默忽略”,除非你主动授权或集成。这样既保证灵活性,又确保项目安全。
