安全漏洞
关注
分享
扫一扫
文章平均质量分 92
gqkmiss
前端
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
Vite CVE-2025-30208 安全漏洞
CVE-2025-30208 是 Vite(一个前端开发工具提供商)在特定版本中存在的安全漏洞。此漏洞允许攻击者通过特殊的 URL 参数绕过对文件系统的访问限制,从而获取任意文件内容(包括非 Vite 服务目录范围外的文件)。原创 2025-03-27 10:07:39 · 722 阅读 · 0 评论 -
NextJS CVE-2025-29927 安全漏洞
Next.js 在内部通过一个名为 x-middleware-subrequest 的请求头,来防止自身中间件的递归调用或无限循环。但研究者发现,攻击者可以在外部请求中人为加上此请求头,并使用特定格式,使Next.js 中间件以为这是一个“子请求”,从而跳过原本应执行的认证或安全检查。Next.js 早在 2016 年就开始发布安全通告;随着使用者增多,官方也不断完善漏洞收集、补丁发布及社区通知流程。关键安全逻辑不要只依赖前置中间件,需多层校验;更要及时跟进框架升级和安全通报,避免类似漏洞造成严重影响。原创 2025-03-25 09:05:30 · 980 阅读 · 0 评论