JavaScript-Framework: Next.js 11.1 behebt eine Open-Redirect-Sicherheitslücke
Das React-Framework Next.js erhält knapp zwei Monate nach der letzten Hauptversion ein Update auf Version 11.1, um mögliche Open Redirects zu verhindern.
(Bild: Shutterstock)
- Maika Möbus
Vercel hat Next.js in Version 11.1 veröffentlicht. Das Framework zum Erstellen serverseitiger Anwendungen mit React bringt in dem Minor Release einen Sicherheitspatch, der mögliche Open Redirects verhindern soll, aber auch neue Features mit.
Sicherheitspatch gegen Open Redirects
Das Next.js-Entwicklerteam erhielt den Hinweis, dass ein Open Redirect mit pages/_error.js möglich war. Next.js 11.1 bringt einen Security-Patch mit, um sie zu verhindern. Mit Open Redirects können Angreifer die Besucher einer vertrauenswürdigen Domäne auf ihre Domäne weiterleiten und deren Ruf für Phishing-Attacken missbrauchen. Vom Next.js-Hersteller Vercel (ehemals ZEIT) gehostete Applikationen sind davon nicht betroffen.
Neben dem Sicherheitspatch sind neue Features in dem Minor Release 11.1 enthalten. Dazu zählt der noch mit einem experimentellen Flag versehene Import von npm-Packages mithilfe von ES Modules:
// next.config.js
module.exports = {
// Prefer loading of ES Modules over CommonJS
experimental: { esmExternals: true }
}Zudem führt Next.js 11.1 Performanceverbesserungen bei der Verwendung von next build und neue Regeln für ESLint ein, das seit Version 11 mit an Bord ist. Das letzte Major Release brachte vor allem Neuerungen für die User Experience (UX) in Zusammenarbeit mit dem Chrome-Team im Projekt Aurora.
Next.js lässt sich auf macOS, Windows (inklusive Windows Subsystem on Linux) und Linux nutzen, Voraussetzung ist Node.js in Version 12.0 oder höher.
Ein Blogeintrag beschreibt die wichtigsten Neuerungen in Next.js 11.1, weitere Details bieten die Release Notes auf GitHub.
(mai)
