近日,网上流传的一张“SonarQube和Vue.js涉及国安漏洞”的截图引起了网友的关注行业。1月25日,Vue.js创始人游雨溪在个人平台账号上迅速回复了此事。游玉玺表示,Vue一直非常重视安全问题,近期没有收到任何漏洞报告。对此,游雨溪指出“前端框架不能被黑客用来渗透”:“截图中的措辞可能会让一些不懂技术的朋友认为‘Vue被黑客用来渗透’-这是一个错误的理解。黑客渗透可能会利用攻击者使用的前端框架中的漏洞,但黑客不会将前端框架作为他们渗透的工具,因为前端框架确实根本没有这个功能。”他在网上查阅公开资料后发现,“本文漏洞纯属后端API认证漏洞,与前端和Vue.js无关。此外,我没有发现任何关于Vue.js的漏洞披露。公共CVE数据库中目前没有特定于Vue的漏洞。js本身。”作为一个开源项目,Vue是一个以JavaScript源代码形式发布的前端项目,每一行代码都开放给任何安全审计。Vue2发布至今已有5年多的时间,在全球业界得到了广泛的应用。在此期间,没有发现真正的安全漏洞。同时游雨溪还对XSS攻击方式进行了解释,“前端就是在用户浏览器中执行的代码,漏洞类型通常是XSS(Cross-SiteScripting)。XSS全称为cross-sitescripting中文攻击,是指通过上传恶意信息,不小心渲染信息中包含的脚本,从而在其他用户登录时执行,窃取其他用户的数据。XSS可以多种形式出现,它可能也发生在纯服务器端渲染的页面上,不一定涉及前端框架。”据了解,Vue团队此前私下也收到过一些所谓的“漏洞”报告,但几乎所有这些报告都假设用户上传的任何HTML内容都是在使用Vue模板或v-的前提下使用的html数据——这种场景与直接渲染用户上传的任何HTML没有本质区别,无论是否使用Vue,都会造成XSS,Vue文档中的security部分也对这种做法有特殊警告。游雨溪解释道:前端框架的职责是根据开发者提供的模板和数据渲染界面。如果开发者强行让框架渲染一个不可信的模板,然后指责框架不安全,这就像使用innerHTML来渲染不可信的内容一样。那么就无异于将安全漏洞归咎于浏览器。最后他强调:只要遵循前端安全常识,Vue本身不存在任何安全问题。因此,我们对为什么将Vue纳入调查感到非常困惑——如果有人知道详细信息或漏洞的详细信息,请发送电子邮件至security@vuejs.org。如果您被同事或老板问到,请分享这篇文章以澄清事实。据悉,网上发布的两张截图来源不明,已在业内广为流传。其内容为“有关部门通报,境外黑客正在组织利用SonarQube和Vue.js对上述单位实施网络攻击检测,因此,有关部门要求国内机关、重要企事业单位组织开展排查”。使用开源项目SonarQube和Vue.js,专注于政务服务平台。”
