做神馬網(wǎng)站快速排名,太原市建設(shè)銀行網(wǎng)站首頁,國外網(wǎng)站做acm題目比較好,網(wǎng)站建設(shè)項(xiàng)目策劃書前腳 React 剛被曝出嚴(yán)重的安全漏洞 毀滅吧#xff01;React又爆兩大漏洞#xff0c;請(qǐng)#xff08;再次#xff09;速查#xff01;#xff0c;讓大家忙著升級(jí)補(bǔ)丁#xff1b;后腳作為前端組件開發(fā)神器的 Storybook 又傳來“噩耗”。就在幾天前#xff0c;Storybook 官…前腳 React 剛被曝出嚴(yán)重的安全漏洞 毀滅吧React又爆兩大漏洞請(qǐng)?jiān)俅嗡俨樽尨蠹颐χ?jí)補(bǔ)丁后腳作為前端組件開發(fā)神器的Storybook又傳來“噩耗”。就在幾天前Storybook 官方發(fā)布了一則緊急安全公告在特定配置下你的 Storybook 構(gòu)建產(chǎn)物可能會(huì)直接將.env文件中的所有環(huán)境變量包括敏感密鑰打包進(jìn)去并公之于眾。這可不是危言聳聽如果你的項(xiàng)目正以此方式部署在公網(wǎng)上你的 API Key、數(shù)據(jù)庫密碼可能已經(jīng)在“裸奔”了。發(fā)生了什么事情的起因是 Storybook 在處理環(huán)境變量時(shí)存在一個(gè) BugCVE-2025-68429。簡單來說當(dāng)你在項(xiàng)目中使用 Storybook 7.0 及以上版本并且在構(gòu)建Build過程中使用了.env文件來管理環(huán)境變量時(shí)Storybook 的某些機(jī)制可能會(huì)錯(cuò)誤地將整個(gè) .env 文件的內(nèi)容包含在最終生成的靜態(tài)文件中。這意味著任何人只要訪問你部署好的 Storybook 頁面通過查看源碼或者網(wǎng)絡(luò)請(qǐng)求就有可能獲取到你原本只想在本地或構(gòu)建階段使用的私密信息。誰是受害者請(qǐng)立刻自查并不是所有使用 Storybook 的人都會(huì)中招。根據(jù)官方公告只有同時(shí)滿足以下條件的項(xiàng)目才會(huì)受影響版本范圍使用的是 Storybook7.0.0及以上版本。構(gòu)建環(huán)境在包含.env文件包括.env.local等變體的目錄中運(yùn)行了storybook build。代碼模式你的代碼包括manager.js/ts或使用的插件中包含特定的process.env訪問模式例如解構(gòu)賦值const { MY_SECRET } process.env對(duì)象展開{ ...process.env }直接賦值const env process.env公網(wǎng)發(fā)布你將構(gòu)建好的靜態(tài) Storybook 發(fā)布到了公網(wǎng)上。注意如果是 CI/CD 環(huán)境通常通過平臺(tái)環(huán)境變量而非.env文件注入或者僅在本地運(yùn)行storybook dev通常是不受影響的。但是值得警惕的是官方審計(jì)發(fā)現(xiàn)Top 100 的 Storybook 插件中有幾個(gè)常用插件的代碼模式會(huì)觸發(fā)這個(gè)漏洞其中包括chromatic-com/storybook(Visual Tests addon)storybook/addon-designs這意味著即使你自己的代碼寫得很小心你引入的插件也可能把你“賣”了。如何自救官方已經(jīng)發(fā)布了緊急補(bǔ)丁。解決辦法非常簡單粗暴升級(jí)立刻升級(jí)請(qǐng)確保你的 Storybook 版本不低于以下安全版本v10.x用戶升級(jí)到10.1.10v9.x用戶升級(jí)到9.1.17v8.x用戶升級(jí)到8.6.15v7.x用戶升級(jí)到7.6.21在升級(jí)并重新構(gòu)建發(fā)布之前建議先輪換Rotate掉所有可能已泄露的密鑰。安全無小事不要抱有僥幸心理。這次事件再次給我們敲響了警鐘。在現(xiàn)代前端開發(fā)中我們習(xí)慣了使用 Webpack、Vite、Storybook 等各種工具。我們往.env里塞各種配置以為它是安全的“后端”領(lǐng)域。但實(shí)際上前端構(gòu)建工具的最終產(chǎn)物是完全公開的靜態(tài)資源。任何試圖混淆“構(gòu)建時(shí)環(huán)境變量”與“運(yùn)行時(shí)環(huán)境變量”邊界的行為都可能埋下雷。對(duì)于.env文件最好的實(shí)踐永遠(yuǎn)是不要在.env文件中存放任何真正的生產(chǎn)環(huán)境機(jī)密Secrets除非你明確知道它們會(huì)被如何處理。對(duì)于必須使用的密鑰盡量通過 CI/CD 平臺(tái)的 Variables 功能注入而不是依賴提交到倉庫或本地殘留的文件。參考來源Storybook Security Advisory: https://storybook.js.org/blog/security-advisory/*