{{#options}}
No arquivo do guiador acima, substituímos o atributo pelo código a seguir há muito tempo e ele estava funcionando conforme o esperado,
attrs: "data = # {dataContext.id.toString ()} style = width: 70px; "
Isso funcionou perfeitamente na versão 3.0.3 e foi interpretado corretamente para o código a seguir,
data = "5336686" style = " largura: 70px; "
Mas quando atualizamos para 3.0.5, o código acima está quebrando e dando a seguinte saída de código codificado,
data=5339575 style=width:70px;
Até onde sei, todos os lançamentos de versões menores e de patch são compatíveis com versões anteriores. Gostaria de saber que devemos reformular o código acima ou isso pode ser revertido na próxima versão secundária? Isso causou um grande problema de produção para nós :( Agradecemos antecipadamente!
Temos exatamente o mesmo problema. Em nosso caso, temos strings codificadas em base64 que são deixadas intactas, mas quaisquer caracteres =
final são convertidos em =
.
1, exatamente o mesmo problema aqui.
Oi. Sinto muito, se essa mudança causar problemas para você. Ele foi introduzido via # 1083. Eu publiquei em resposta ao nº 1454, que faz referência a uma entrada no banco de dados de segurança do
Mas você está certo. A lista de caracteres escapados foi documentada, portanto, esta foi uma alteração significativa.
Vou reverter, mas também vou buscar a opinião das pessoas que desejaram a mudança.
Atualização: Não, não vou reverter agora. Certo, não, é meia-noite e meia onde moro, então vou dormir e pensar sobre isso.
@rhariraman A propósito: você está usando a falta de "=" - escapando exatamente da maneira que pode causar a vulnerabilidade (consulte https://github.com/wycats/handlebars.js/pull/1083#issuecomment-134733449)
A correção de segurança foi revertida na versão 3.0.6
Sinais de igualdade não são mais escapados.
@nknapp Muito obrigado :)
Comentários muito úteis
Temos exatamente o mesmo problema. Em nosso caso, temos strings codificadas em base64 que são deixadas intactas, mas quaisquer caracteres
=
final são convertidos em=
.