用 Next.js 写代码的兄弟们,这两天可能要疯。
就在 12 月 3 日,Next.js 官网丢出了一个**「安全公告」**,证实了一个高危安全漏洞。这个漏洞有多严重?它直接影响了 Next.js 的核心运行机制。
💣 这锅得让 RSC 协议来背
官方宣称,这个「允许攻击者注入任意代码」的漏洞,核心问题出在 RSC 协议上。
RSC(React Server Components)协议,就是那个为了性能优化,让服务器组件数据在服务器和客户端之间跳舞的傢伙。
我们来批判一下: RSC 追求的「全栈体验」和「服务器/客户端边界模糊」,在开发体验上确实是飞跃,但这种复杂的状态和数据同步机制,从来都不是安全和稳定的好朋友。当你试图在一个框架内承载太多复杂的传输逻辑时,出问题只是时间问题。
🚨 影响范围:你的项目全军覆没了吗?
看看这个影响版本列表,基本上现在正在跑 Next.js App Router 的项目全军覆没,热门版本无一幸免!
看看安全大佬们的发言,你就知道事情有多紧急:
虽然有社区用户们尝试「重现」,初期没有成功,但这只是时间问题,随着时间的推进,必然会有更多用户能利用这个漏洞。
🛠️ 要升级吗?
目前看来是很有必要的,除非你的项目是静态生成的。
对于这种高危漏洞,没有什么优雅的解决方案,只有一个字:升级!
在享受新技术的便捷面前,也要承担新技术各方面带来的不稳定性,这次 RSC 漏洞刚好踩到大雷!
不说了,笔者升级去了!
