Handlebars.js: Conversion du guidon en html cassée dans 3.0.5

{{#options}}

{{/options}}

Dans le fichier de guidon ci-dessus, nous avons remplacé l'attribut par le code suivant il y a longtemps et cela fonctionnait comme prévu,
attrs : " data=#{dataContext.id.toString()} style= width:70px ; "

Cela fonctionnait parfaitement dans la version 3.0.3 et correctement interprété au code suivant,

data="5336686" style=" largeur:70px; "

Mais lorsque nous avons mis à niveau vers 3.0.5, le code ci-dessus se brise et donne la sortie de code codée suivante,

data=5339575 style=width:70px;

Pour autant que je sache, toutes les versions mineures et les versions de correctifs sont rétrocompatibles. J'aimerais savoir que nous devrions réorganiser le code ci-dessus ou que cela pourrait être annulé dans la prochaine version mineure ? Cela a causé un problème de production majeur pour nous :( Merci d'avance !

Source

rhariraman

👍4

Commentaire le plus utile

Nous avons exactement le même problème. Dans notre cas, nous avons des chaînes encodées en base64 qui sont par ailleurs laissées intactes, mais tous les caractères = sont convertis en = .

huijar le 21 déc. 2018

👍3

Tous les 5 commentaires

Nous avons exactement le même problème. Dans notre cas, nous avons des chaînes encodées en base64 qui sont par ailleurs laissées intactes, mais tous les caractères = sont convertis en = .

huijar le 21 déc. 2018

👍3

+1, exactement le même problème ici.

jlaari le 21 déc. 2018

👍1

Salut. Je suis désolé, si ce changement vous cause des problèmes. Il a été introduit via #1083. Je l'ai publié en réponse à #1454, qui fait référence à une entrée dans la base de données de sécurité des nœuds .

Mais tu as raison. La liste des caractères échappés était documentée, il s'agissait donc d'un changement décisif.
Je vais revenir en arrière, mais je vais aussi avoir les avis des personnes qui ont souhaité avoir le changement.

Mise à jour : non, je ne vais pas le rétablir pour le moment. Non, il est minuit et demi là où j'habite, alors je vais me coucher et réfléchir à ça.

@rhariraman Au fait: vous utilisez le manque de "="-s'échapper exactement de la manière qui peut provoquer la vulnérabilité (voir https://github.com/wycats/handlebars.js/pull/1083#issuecomment-134733449)

nknapp le 22 déc. 2018

Le correctif de sécurité est rétabli dans la version 3.0.6
Les signes égaux ne sont plus échappés.

nknapp le 2 janv. 2019

@nknapp Merci beaucoup :)

rhariraman le 2 janv. 2019

Cette page vous a été utile?

0 / 5 - 0 notes

Questions connexes

Prise en charge des cartes, des ensembles et des itérables personnalisés dans l'assistant "chaque" intégré ?

jasonh-brimar  ·  6Commentaires

---

Demande de fonctionnalité : assistant de "joindre" intégré

jlubean  ·  8Commentaires

---

Le guidon NPM ne peut pas lire ses propres données précompilées

novwhisky  ·  4Commentaires

---

Erreur : objet modèle inconnu : chaîne lors de l'utilisation d'un modèle précompilé avec .template()

ricardograca  ·  4Commentaires

---

Comment modifier le symbole {{ dans l'expression comme d'autres symboles

LengYXin  ·  3Commentaires