https://github.com/advisories/GHSA-f82v-jwr5-mffw
尽快升级到最新版本。
如果无法短期内升级,拦截一切 HTTP Header 包含 x-middleware-subrequest 的请求。
受影响的版本:
>= 11.1.4, <= 13.5.6
>= 14.0, < 14.2.25
>= 15.0, < 15.2.3
官方 Patch 安全版本:
14.2.25
15.2.3
扫了一眼解决方案,这个给中间件的白名单请求头现在改成了一个随机的 8 字节 ID ,标识中间件子请求的来源,被添加到请求头 x-middleware-subrequest-id 。如果请求头中的 x-middleware-subrequest-id 与全局存储的 ID 不匹配,则删除 x-middleware-subrequest 请求头。此更改确保了只有来自相同会话的子请求才会被视为中间件子请求。 https://github.com/vercel/next.js/commit/52a078da3884efe6501613c7834a3d02a91676d2
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.