Next.js - это React-фреймворк для создания веб-приложений с полным стеком. Начиная с версии 16.0.1 и до версии 16.1.7, в «Следующий dev`» з…

Next.js - это React-фреймворк для создания веб-приложений с полным стеком. Начиная с версии 16.0.1 и до версии 16.1.7, в «Следующий dev`» защита между сайтами для внутренних концепторских точек веб-сайтов может рассматривать «Происхождение: null`» в качестве двойного случая, даже если «разрешенный DevOrigins`» конфигурируется, что позволяет конфиденциальным/непрозрачным контекстам (например, песочницам) неожиданно подключаться. Если сервер Dev доступен из контролируемого злоумышленником контента, злоумышленник может подключиться к каналу веб-сокетии HMR и взаимодействовать с трафиком веб-сокета разработчиков. Это касается только режима развития. Приложения без настроенного `alowedDevOrigins` по-прежнему допускают соединения любого происхождения. Эта проблема исправлена в версии 16.1.7 путем проверки подлинности: null` посредством тех же проверок происхождения и льгот, используемых для других групп. Если обновление невозможно сразу, не подвергайте «следующий dev` ненадежные сети и/или блокируйте обновления веб-счета до `/_next/webpack-hmr` когда `Origin` является `nll` по прокси.