Next.js 受 9.1 级重大漏洞攻击...

文章预览

上周五，就在你刚犯了“周五上线代码”的经典错误后不久，全球最受欢迎的JavaScript框架Next.js被曝出了一项高达9.1级的严重安全漏洞。 此次漏洞攻击方式极为简单：攻击者可以绕过Next.js中间件的认证与授权检查，这意味着原本用于保护应用安全的核心逻辑完全失效。 例如，在软件即服务（SaaS）应用中，我们通常会在中间件中编写类似“如果用户未付费，则自动跳转至付费页面”的逻辑。然而，由于Next.js母公司Vercel近期在安全代码上存在严重疏忽，攻击者仅需向服务器发出特制请求，即可轻松跳过中间件中所有的权限校验。通俗来说，用户只要“礼貌地拒绝”支付，就能免费无限制使用你的应用服务。 此次漏洞爆出后，长期批评Next.js与React框架的用户可谓扬眉吐气，纷纷高喊“早就提醒过你们了！”，而这群“技术预言家”们大多还是躲在暗 ………………………………