Handlebars.js: Conversão do guiador para html quebrada no 3.0.5

{{#options}}

{{/ options}}

No arquivo do guiador acima, substituímos o atributo pelo código a seguir há muito tempo e ele estava funcionando conforme o esperado,
attrs: "data = # {dataContext.id.toString ()} style = width: 70px; "

Isso funcionou perfeitamente na versão 3.0.3 e foi interpretado corretamente para o código a seguir,

data = "5336686" style = " largura: 70px; "

Mas quando atualizamos para 3.0.5, o código acima está quebrando e dando a seguinte saída de código codificado,

data=5339575 style=width:70px;

Até onde sei, todos os lançamentos de versões menores e de patch são compatíveis com versões anteriores. Gostaria de saber que devemos reformular o código acima ou isso pode ser revertido na próxima versão secundária? Isso causou um grande problema de produção para nós :( Agradecemos antecipadamente!

Fonte

rhariraman

👍4

Comentários muito úteis

Temos exatamente o mesmo problema. Em nosso caso, temos strings codificadas em base64 que são deixadas intactas, mas quaisquer caracteres = final são convertidos em = .

huijar em 21 dez. 2018

👍3

Todos 5 comentários

Temos exatamente o mesmo problema. Em nosso caso, temos strings codificadas em base64 que são deixadas intactas, mas quaisquer caracteres = final são convertidos em = .

huijar em 21 dez. 2018

👍3

1, exatamente o mesmo problema aqui.

jlaari em 21 dez. 2018

👍1

Oi. Sinto muito, se essa mudança causar problemas para você. Ele foi introduzido via # 1083. Eu publiquei em resposta ao nº 1454, que faz referência a uma entrada no banco de dados de segurança do

Mas você está certo. A lista de caracteres escapados foi documentada, portanto, esta foi uma alteração significativa.
Vou reverter, mas também vou buscar a opinião das pessoas que desejaram a mudança.

Atualização: Não, não vou reverter agora. Certo, não, é meia-noite e meia onde moro, então vou dormir e pensar sobre isso.

@rhariraman A propósito: você está usando a falta de "=" - escapando exatamente da maneira que pode causar a vulnerabilidade (consulte https://github.com/wycats/handlebars.js/pull/1083#issuecomment-134733449)

nknapp em 22 dez. 2018

A correção de segurança foi revertida na versão 3.0.6
Sinais de igualdade não são mais escapados.

nknapp em 2 jan. 2019

@nknapp Muito obrigado :)

rhariraman em 2 jan. 2019

Esta página foi útil?

0 / 5 - 0 avaliações

Questões relacionadas

Use yargs em vez de otimista obsoleto na versão 4.x

ShintaroOkuda  ·  7Comentários

---

Suporte para mapas, conjuntos e iteráveis ​​personalizados em "cada" ajudante integrado?

jasonh-brimar  ·  6Comentários

---

0 é verdade

rizen  ·  6Comentários

---

Controle de acesso a protopropriedades

nknapp  ·  3Comentários

---

O guiador pré-compilado ainda está lento

fcpauldiaz  ·  4Comentários