




















最近在盘点手头前端项目的依赖,顺手做了一波安全审计,惊出一身冷汗。发出来给各位尝鲜 Next 15 的老哥提个醒。
如果你项目 package.json 里的依赖刚好卡在以下版本组合:
next: "15.0.3"react: "19.0.0" react-dom: "19.0.0"建议立刻、马上安排升级。
前阵子开新坑,为了吃 React 19 的红利,项目初期直接把依赖锁在了上面的版本。
但实际上这个特定版本的组合存在非常严重的安全漏洞。在特定的服务端渲染( SSR )或 Server Actions 场景下,恶意攻击者可以通过构造 payload ,直接绕过编译期检查向运行环境植入恶意程序。在如今满大街自动化扫描器的环境下,用这个版本组合上线无异于在公网裸奔。
直接把版本推到最新的 Patch 版:
npm install next@latest react@latest react-dom@latest
(注:升级后切记把 node_modules 和 .next 缓存删干净重新 build ,我这边实测推上去基本是无痛兼容的,没有遇到恶心的 Breaking change 。)
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。