共计 1170 个字符,预计需要花费 3 分钟才能阅读完成。
近日,网上流传的一张对于“SonarQube 和 Vue.js 波及国家安全漏洞“的截图引发业内关注。1 月 25 日,Vue.js 创始人尤雨溪迅速在集体平台账号上对此事做了回应。
尤雨溪示意,Vue 向来十分看重平安问题,近期也并未收到破绽报告。
在回应中,尤雨溪指出“前端框架无奈被黑客用于浸透”:“截图中的文字措辞可能会让一些不懂技术的敌人认为‘Vue 被黑客用于浸透’—— 这是谬误的了解。黑客浸透可能会利用被攻击者所应用的前端框架中的破绽,但黑客不会用前端框架作为其浸透的工具,因为前端框架基本没有这个性能。”
在对网上公开信息进行排查后,他发现“文中的破绽是纯正的后端 API 鉴权破绽,跟前端和 Vue 没有任何关系。除此之外,并没有找到任何对于 Vue 的破绽披露。公开的 CVE 数据库中目前也没有任何针对 Vue.js 自身的破绽。”
作为开源我的项目,Vue 是以 JavaScript 源码模式公布的前端我的项目,每一行代码都公开承受任何平安审计。Vue 2 公布至今曾经 5 年多,在寰球业界被宽泛应用,期间从未有被发现过真正意义上的安全漏洞。
同时,尤雨溪还对 XSS 攻打伎俩进行了解释,“前端作为在用户浏览器里执行的代码,破绽类型通常都是 XSS (Cross-Site Scripting),XSS 中文叫跨站脚本攻打,指的是通过上传歹意信息,让信息中蕴含的脚本被意外地渲染,从而可能在其余用户登陆时执行,窃取其余用户的数据。XSS 能够以多种形式呈现,在纯正服务端渲染的页面上也可能产生,不肯定波及前端框架。”
据理解,此前 Vue 团队私下也接到过一些所谓的“破绽”报告,但这些报告简直全副是在假如了将用户上传的任意 HTML 内容当作 Vue 模版或是 v-html 数据应用的前提下 —— 这种场景跟间接渲染用户上传的任意 HTML 没有本质区别,不论用的是不是 Vue 都会导致 XSS,而 Vue 文档里的平安章节也对这种做法有特地正告。
尤雨溪解释称:前端框架的职责是依据开发者提供的模版和数据渲染界面,如果开发者强行要求框架渲染不可信的模版而后指摘框架不平安,这就如同用 innerHTML 渲染不可信的内容,而后指摘浏览器有安全漏洞一样。
最初,他强调:只有遵循普适的前端平安常识,Vue 自身并不存在任何安全性问题。也因而,咱们对于为什么 Vue 会被列入排查感到很困惑 —— 如果有哪位敌人晓得详情或是破绽细节,请发邮件到 security@vuejs.org 告诉咱们。如果你被共事或是下属问起,也请分享这篇文章以正视听。
据悉,目前网传的这两张截图来源不明,现曾经在业内被广泛传播。其内容是“无关部门通报境外黑客正在组织利用 SonarQube 和 Vue.js 对上述单位施行网络攻击探测。因而无关部门要求境内机关、重要企事业单位对开源我的项目 SonarQube 和 Vue.js 的应用状况进行组织排查,重点是政府服务平台。”