Handlebars.js: 3.0.5でハンドルバーからHTMLへの変換が壊れました

{{#options}}

{{/オプション}}

上記のハンドルバーファイルでは、属性を次のコードに置き換えており、期待どおりに機能していました。
attrs： "data =＃{dataContext.id.toString（）} style = width：70px; "

これは3.0.3バージョンで完全に機能し、次のコードに正しく解釈されました。

data = "5336686" style = " width：70px; "

しかし、3.0.5にアップグレードすると、上記のコードが壊れて、次のエンコードされたコード出力が得られます。

data=5339575 style=width:70px;

私の理解する限り、すべてのマイナーバージョンとパッチバージョンのリリースには下位互換性があります。 上記のコードを修正する必要があることを知りたいのですが、そうしないと、次のマイナーリリースで元に戻すことができますか？ これは私たちにとって大きな生産上の問題を引き起こしました:(よろしくお願いします！

ソース

rhariraman

👍4

最も参考になるコメント

まったく同じ問題があります。 私たちのケースでは、そうでない場合はそのまま残されている文字列をbase64エンコードを持っていますが、後続の=文字がに変換します= 。

huijar 2018年12月21日

👍3

全てのコメント5件

まったく同じ問題があります。 私たちのケースでは、そうでない場合はそのまま残されている文字列をbase64エンコードを持っていますが、後続の=文字がに変換します= 。

huijar 2018年12月21日

👍3

+1、ここでもまったく同じ問題。

jlaari 2018年12月21日

👍1

やあ。 この変更により問題が発生した場合は、申し訳ありません。 ＃1083で紹介されました。 ノードセキュリティデータベースのエントリを参照する＃1454への応答として公開しました。

しかし、あなたは正しいです。 エスケープ文字のリストが文書化されていたので、これは重大な変更でした。
元に戻すつもりですが、変更を希望する方のご意見も伺います。

更新：いいえ、今は元に戻すつもりはありません。 いやいや、私が住んでいたのは真夜中半過ぎだったので、寝てこれについて考えます。

@rhariramanちなみに、「=」の欠如を使用しています-脆弱性を引き起こす可能性のある方法で正確にエスケープしています（https://github.com/wycats/handlebars.js/pull/1083#issuecomment-134733449を参照）

nknapp 2018年12月22日

セキュリティ修正はバージョン3.0.6で元に戻されます
等号はもはや逃げられません。

nknapp 2019年01月02日

@nknappどうもありがとう:)

rhariraman 2019年01月02日

このページは役に立ちましたか？

0 / 5 - 0 評価

関連する問題

4.xリリースで非推奨のオプティミストの代わりにyargsを使用する

ShintaroOkuda  ·  7コメント

---

プロトプロパティへのアクセス制御

nknapp  ·  3コメント

---

グローバルコンテキストがループで利用できませんか？

sontek  ·  3コメント

---

機能リクエスト：組み込みの「参加」ヘルパー

jlubean  ·  8コメント

---

NPMハンドルバーは、独自のプリコンパイル済みデータを読み取ることができません

novwhisky  ·  4コメント