{{#options}}
上記のハンドルバーファイルでは、属性を次のコードに置き換えており、期待どおりに機能していました。
attrs: "data =#{dataContext.id.toString()} style = width:70px; "
これは3.0.3バージョンで完全に機能し、次のコードに正しく解釈されました。
data = "5336686" style = " width:70px; "
しかし、3.0.5にアップグレードすると、上記のコードが壊れて、次のエンコードされたコード出力が得られます。
data=5339575 style=width:70px;
私の理解する限り、すべてのマイナーバージョンとパッチバージョンのリリースには下位互換性があります。 上記のコードを修正する必要があることを知りたいのですが、そうしないと、次のマイナーリリースで元に戻すことができますか? これは私たちにとって大きな生産上の問題を引き起こしました:(よろしくお願いします!
まったく同じ問題があります。 私たちのケースでは、そうでない場合はそのまま残されている文字列をbase64エンコードを持っていますが、後続の=
文字がに変換します=
。
+1、ここでもまったく同じ問題。
やあ。 この変更により問題が発生した場合は、申し訳ありません。 #1083で紹介されました。 ノードセキュリティデータベースのエントリを参照する#1454への応答として公開しました。
しかし、あなたは正しいです。 エスケープ文字のリストが文書化されていたので、これは重大な変更でした。
元に戻すつもりですが、変更を希望する方のご意見も伺います。
更新:いいえ、今は元に戻すつもりはありません。 いやいや、私が住んでいたのは真夜中半過ぎだったので、寝てこれについて考えます。
@rhariramanちなみに、「=」の欠如を使用しています-脆弱性を引き起こす可能性のある方法で正確にエスケープしています(https://github.com/wycats/handlebars.js/pull/1083#issuecomment-134733449を参照)
セキュリティ修正はバージョン3.0.6で元に戻されます
等号はもはや逃げられません。
@nknappどうもありがとう:)
最も参考になるコメント
まったく同じ問題があります。 私たちのケースでは、そうでない場合はそのまま残されている文字列をbase64エンコードを持っていますが、後続の
=
文字がに変換します=
。