🦄 本期核心要点
- React 严重安全漏洞:代号 React2Shell 的 RSC 漏洞评分高达 10.0,影响 Next.js 等主流框架,攻击代码已在网络流传,请立即升级
- React Native 0.83 重磅发布:首次支持
<Activity>API,Reanimated 4.2 实现共享元素转场,性能和开发体验双提升 - 状态管理新选择:Fate 数据客户端和 TanStack AI 双双进入 Alpha 阶段,前者受 Relay 启发,后者对标 Vercel AI SDK
- 前端生态安全加固:Chrome 发布年度 CSS 总结,pnpm 分享 npm 供应链三层防护体系,Cloudflare 因应对 React 漏洞而经历全球故障
⚛️ React 动态
CVE-2025-55182:React2Shell 漏洞警惕
🔐 一项危及 React Server Components 的 10.0 级严重漏洞已被公开,攻击者通过简单的 HTTP 请求即可实现未授权远程代码执行。Next.js v14-canary、v15、v16 等主流框架均受影响,升级刻不容缓。网络安全研究员在披露后约 30 小时就已逆向工程出攻击代码,目前全球范围已被大规模利用,甚至还有浏览器插件可自动检测并攻击存在漏洞的网站。
Fate Alpha:现代化的 React 数据客户端
📊 由前 Meta 工程师打造的声明式数据获取与状态管理方案,灵感来自 Relay Client,但无需 GraphQL。它带来了状态共置、数据归一化、视图组合和数据屏蔽等高级特性,为复杂应用的状态管理提供了新思路。
TanStack AI Alpha:跨框架 AI 工具包
🤖 TanStack 家族新成员,一个与框架、语言和服务无关的 AI 方案。相比 Vercel AI SDK,它与 TanStack Start 集成更深度,同时提供无头聊天 UI 库。开发者可自由组合模型提供商,在保持统一开发体验的同时不受生态锁定。
React Grab for Agents:让 AI 帮你写 UI
🎯 在浏览器中直接向 AI 智能体指派 UI 相关任务,自动共享文件路径、组件堆栈等上下文信息。告别反复解释需求的低效沟通,AI 能精准理解你的意图并快速产出代码。
Formisch:跨框架的模块化表单库
📝 最初为 Solid 设计,现已支持 React 的模块化、类型安全表单方案。开发者可根据需求组合校验、布局、状态管理等功能,避免引入冗余代码。
Base UI 1.0 RC 发布
🎨 Material-UI 团队打造的无样式组件库进入候选发布阶段,提供完全可定制的原子级组件,适合需要极致视觉控制的团队搭建设计系统。
📱 React Native 动态
React Native 0.83 正式发布
🚀 首个支持 React 19.2 的 RN 版本,带来
<Activity>组件和useEffectEventHook。新版 DevTools 新增网络和性能面板,并推出独立桌面应用。Intersection Observer 进入 Canary,Web Performance API 稳定可用。Hermes V1 性能提升,iOS 端更可实验性移除旧架构代码,编译体积大幅缩减。
Reanimated 4.2:共享元素转场动画
✨ Software Mansion 团队重写并实现了社区最需要的共享元素转场功能,可在不同屏幕间流畅动画视图,带来连贯的导航体验。该功能及多项性能优化均置于特性开关后,便于社区反馈和最终调优。
State of React Native 2025 问卷开启
📊 年度社区调研现已开放,你的反馈将直接影响生态发展方向。请花几分钟参与,帮助社区更准确地把握技术趋势和痛点。
Sheet Navigator:无缝的抽屉导航
📱 为 react-navigation 定制的导航器,让打开抽屉像切换栈页面一样自然。支持嵌套导航、手势返回等原生体验,适合构建复杂的移动端交互流程。
Refined:React Native 样式 Lint 规则
🎨 一套专为 React Native 样式设计的 ESLint 插件,自动检测不规范的样式使用、缺失的 Platform 判断、未优化的阴影等,让应用视觉更精致。
Worklets 0.7:自定义序列化与调度 API
⚙️ 支持注册自定义可序列化类型(对 Nitro Objects 尤其有用),新增调度 API 和更完善的 Synchronizable 文档,为高性能逻辑提供更灵活的工具。
Quick Crypto 1.0:Nitro Modules 重写
🔐 基于 Nitro Modules 完全重写,摆脱 JSI 直接调用的性能瓶颈,加密操作速度提升显著,同时降低原生模块维护成本。
🔀 其它动态
CSS Wrapped 2025:Chrome 年度 CSS 总结
🎨 Chrome 团队精心呈现的年度 CSS 新特性概览,包含众多你可能从未听过的实用特性。从容器查询到视图过渡,这份视觉化的总结是前端开发者年度必看。
pnpm 如何保护新闻编辑室免受 npm 供应链攻击
🛡️ pnpm 团队分享三层安全防护体系:依赖锁文件、内容完整性校验、只读依赖存储,并结合真实新闻编辑室案例,展示如何在生产环境构建可信的 JavaScript 供应链。
用全系统开发容器防御恶意 npm 包
🐳 在 Docker 开发容器中隔离所有 npm 操作,即使安装了恶意包也无法触及宿主系统文件。配合只读挂载和受限网络,为开源贡献者提供零信任安全环境。
TypeScript 类型即编程语言
💡 深入探索 TypeScript 类型系统的图灵完备性,展示如何利用条件类型、递归和模板字面量在编译期实现逻辑运算、数据结构乃至小游戏。
Chrome 144 Beta:Temporal API 来了
⏰ 千呼万唤的现代日期时间 API 正式进入 Chrome Beta,告别 moment.js 和 Date 对象的种种陷阱。Temporal 提供不可变、时区感知、精准运算的时间对象,将重塑 Web 时间处理体验。
Firefox 146:@scope 支持与导航 API
🦊 Firefox 夜间版率先支持 CSS
@scope规则,Symbol 可作为 WeakMap 键,Navigation API 开启试用。浏览器竞争加速推进现代 Web 标准落地。
