Home Sign Up Sign In
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
cena008plus
V2EX  ›  程序员

[踩坑提醒] 还在用 Next.js 15.0.3 + React 19 的朋友,建议检查下依赖

  •   
  •   cena008plus · 1h 34m ago · 53 views

    最近在盘点手头前端项目的依赖,顺手做了一波安全审计,惊出一身冷汗。发出来给各位尝鲜 Next 15 的老哥提个醒。

    省流( TL;DR ):

    如果你项目 package.json 里的依赖刚好卡在以下版本组合:

    • next: "15.0.3"
    • react: "19.0.0"
    • react-dom: "19.0.0"

    建议立刻、马上安排升级。

    隐患背景

    前阵子开新坑,为了吃 React 19 的红利,项目初期直接把依赖锁在了上面的版本。

    但实际上这个特定版本的组合存在非常严重的安全漏洞。在特定的服务端渲染( SSR )或 Server Actions 场景下,恶意攻击者可以通过构造 payload ,直接绕过编译期检查向运行环境植入恶意程序。在如今满大街自动化扫描器的环境下,用这个版本组合上线无异于在公网裸奔。

    解决办法

    直接把版本推到最新的 Patch 版:

    npm install next@latest react@latest react-dom@latest
(注:升级后切记把 node_modules 和 .next 缓存删干净重新 build ,我这边实测推上去基本是无痛兼容的,没有遇到恶心的 Breaking change 。)
    No Comments Yet
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   2840 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 15:18 · PVG 23:18 · LAX 08:18 · JFK 11:18
    ♥ Do have faith in what you're doing.