Next.js在8月12号发布了11.1版本,在前端圈子里引起了不小的动荡,我总结了两点原因:
SWC作者和ParcelContributor的加入。前端工具链领域RustorGobased的发展方向。先来看看联合作者,豪华的阵容:其中DongYongKang[1]是最近很火的基于Rust的编译框架SWC的作者,97年出生的韩国小哥。而MaiaTeegarden[2]是Parcel的贡献者之一。在这些巨佬的加持下,Next.js11.1带来了很多让人振奋的新改进:
安全补丁[3]:防止潜在的打开重定向风险的重要更新。ESModules支持[4]:今日起可用,通过实验性flag开启。Rust-based工具链[5]:集成SWC,取代了JS工具链(Babel和Terser)。更快的数据获取[6]:2x快的数据获取,在预渲染的时候通过HTTPkeep-alive特性加持来获得。更快的SourceMaps[7]:构建速度加快70%,内存使用减少67%。ESLint集成优化[8]:更好的可访问性和拼写检查。next/image优化[9]:可选的Sharp用法,对nextexport的支持更好。接下来,咱一起看看本次更新的新闻稿内容:
安全补丁Next.js团队与安全研究人员和审计人员合作来防止漏洞。我们感谢来自Robinhood的GabrielBenmergui,他们调查并发现了一个使用pages/_error.js的打开重定向风险,并随后负责任的进行报告。好在报告的问题没有直接伤害到用户,但它存在被钓鱼攻击从信任域重定向到攻击者的域的风险。
我们在Next.js11.1中安装了一个补丁,以防止这种问题的发生,我们也做好了安全回归测试[10]。欲了解更多详情,请阅读公开的CVE[11]。我们建议升级到Next.js的最新版本,以提高应用程序的整体安全性。如需跟进日后的报告信息,请发送电子邮件至security
vercel.