Angular小博客
分享让你更聪明
昨天,Angular 团队意识到Critters npm 包中的一个错误,该错误可能导致跨站点脚本(XSS)漏洞。此问题影响 Critters 版本 0.0.17、0.0.18 和 0.0.19。版本 0.0.20 包含修复程序。
Angular Universal(特别是@nguniversal/common
)版本 16.1.0–16.1.1 取决于受影响的 Critters 版本。该漏洞已在16.1.2版本中修复。
此错误会影响使用 Angular Universal 进行服务器端渲染 (SSR) 的应用程序。如果使用构建时预渲染的应用程序在其预渲染 HTML 中包含用户创作的数据,则可能会受到影响。目前我们没有证据表明该漏洞已在野外被利用。
如果您依赖任何受影响的版本,请立即更新您的 Critters 和 Angular Universal 版本。
不使用 Angular Universal 的应用程序不应受到影响。 Angular CLI 确实在非通用应用程序的构建过程中使用 Critters,但是在这种情况下利用相关错误需要恶意行为者已经有权修改应用程序源代码。
我们将很快发布另一篇博客文章,提供更详细的事后分析。
原文链接:https://blog.angular.dev/notice-of-xss-issue-affecting-angular-universal-16-1-0-16-1-1-95dbae068f