{{#options}}
Dans le fichier de guidon ci-dessus, nous avons remplacé l'attribut par le code suivant il y a longtemps et cela fonctionnait comme prévu,
attrs : " data=#{dataContext.id.toString()} style= width:70px ; "
Cela fonctionnait parfaitement dans la version 3.0.3 et correctement interprété au code suivant,
data="5336686" style=" largeur:70px; "
Mais lorsque nous avons mis à niveau vers 3.0.5, le code ci-dessus se brise et donne la sortie de code codée suivante,
data=5339575 style=width:70px;
Pour autant que je sache, toutes les versions mineures et les versions de correctifs sont rétrocompatibles. J'aimerais savoir que nous devrions réorganiser le code ci-dessus ou que cela pourrait être annulé dans la prochaine version mineure ? Cela a causé un problème de production majeur pour nous :( Merci d'avance !
Nous avons exactement le même problème. Dans notre cas, nous avons des chaînes encodées en base64 qui sont par ailleurs laissées intactes, mais tous les caractères =
sont convertis en =
.
+1, exactement le même problème ici.
Salut. Je suis désolé, si ce changement vous cause des problèmes. Il a été introduit via #1083. Je l'ai publié en réponse à #1454, qui fait référence à une entrée dans la base de données de sécurité des nœuds .
Mais tu as raison. La liste des caractères échappés était documentée, il s'agissait donc d'un changement décisif.
Je vais revenir en arrière, mais je vais aussi avoir les avis des personnes qui ont souhaité avoir le changement.
Mise à jour : non, je ne vais pas le rétablir pour le moment. Non, il est minuit et demi là où j'habite, alors je vais me coucher et réfléchir à ça.
@rhariraman Au fait: vous utilisez le manque de "="-s'échapper exactement de la manière qui peut provoquer la vulnérabilité (voir https://github.com/wycats/handlebars.js/pull/1083#issuecomment-134733449)
Le correctif de sécurité est rétabli dans la version 3.0.6
Les signes égaux ne sont plus échappés.
@nknapp Merci beaucoup :)
Commentaire le plus utile
Nous avons exactement le même problème. Dans notre cas, nous avons des chaînes encodées en base64 qui sont par ailleurs laissées intactes, mais tous les caractères
=
sont convertis en=
.