Astro 6.1.8 behebt kritischen Netlify-Deploy-Bug und Sicherheitslücke im /_image-Endpoint

Astro 6.1.8 behebt kritischen Netlify-Deploy-Bug und Sicherheitslücke im /_image-Endpoint

lschvn

Astro 6.1.8 erschien am 18. April mit zwei Fixes, die Entwickler auf Netlify oder Vercel sofort anwenden sollten.

Der Dateinamen-Bug, der Netlify Deployments brach

Der wichtigste Fix adressiert eine Regression: Build-Output-Dateinamen konnten Sonderzeichen (!, ~, {, }) enthalten, die auf bestimmten Deployment-Plattformen ungültig oder getrimmt werden.

Das Problem zeigt sich auf Netlify. Die Skew-Protection von Netlify, die sicherstellt, dass deployte Assets zum Build-Output passen, entfernt diese Zeichen vor dem Deployment. Wenn Ihr gebautes HTML auf chunk.abc123!~{x}.js verweist und Netlify es als chunk.abc123.js ausliefert, ist die Referenz kaputt.

Das Astro-Team bestätigt, dass dies Builds betraf, bei denen dynamische Imports oder bestimmte Code-Splitting-Patterns Chunks mit Hash-Segmenten erzeugten, die diese Zeichen enthielten. Version 6.1.8 normalisiert die Ausgabe-Dateinamen.

/_image Endpoint Content-Type Confusion

Der zweite bemerkenswerte Fix schließt eine Sicherheitslücke im integrierten Bildoptimierungs-Endpoint von Astro (/_image). Der Endpoint akzeptierte einen beliebigen f=svg Query-Parameter und lieferte den von der Upstream-URL zurückgegebenen Inhalt als image/svg+xml aus, ohne zu prüfen, ob der Inhalt tatsächlich SVG war.

Ein Angreifer konnte dies für Content-Type-Confusion-Angriffe oder Cache-Poisoning nutzen. Das Astro-Team merkt an, dass der Endpoint allowedDomains explizit erfordert, was die Angriffsfläche begrenzt, aber der Fix ist dennoch richtig.

Performance: Dev-Server Dependency Caching

Der Dev-Server erhält eine kleine aber messbare Verbesserung: Das interne Crawling der Projekt-Abhängigkeiten wird nun zwischen Requests gecached. In Projekten mit vielen Routes reduziert dies redundante Dateisystem-Durchsuchungen bei jedem Page-Refresh.

Andere Fixes in 6.1.8

  • Fix für dynamische Import-Chunks, die bei jedem Build frische Hashes erhielten
  • allowedDomains werden nun korrekt an den Dev-Server propagiert
  • Vue Scoped Styles funktionieren korrekt während Client-Side-Router-Navigation im Dev-Modus
  • /_image-Endpoint validiert nun, dass die Quelle tatsächlich SVG ist
  • Fix für Build-Fehler auf Vercel und Netlify bei inter-Chunk JavaScript mit dynamischen Imports

Upgrade

Führen Sie px @astrojs/upgrade oder npm install astro@latest aus. Prüfen Sie auf Netlify oder Vercel, ob Ihr letztes Deployment alle Assets korrekt lädt.

Häufig gestellte Fragen

Verwandte Artikel

Weitere Berichterstattung zu ähnlichen Themen und Tags.

EmDash: Cloudflares TypeScript-basierter WordPress-Nachfolger mit Sandbox-Plugins
security

EmDash: Cloudflares TypeScript-basierter WordPress-Nachfolger mit Sandbox-Plugins

Cloudflare hat EmDash aufgebaut, ein neues Open-Source-CMS, das vollständig in TypeScript geschrieben und von Astro angetrieben wird. Plugins werden in isolierten Dynamic Workers ausgeführt und lösen das jahrzehntealte Sicherheitsproblem von WordPress.
React Router v8 stuft seine Future Flags zu Standardwerten hoch, wird rein ESM und legt `react-router-dom` ab
frameworks

React Router v8 stuft seine Future Flags zu Standardwerten hoch, wird rein ESM und legt `react-router-dom` ab

React Router v8.0.0 (17. Juni 2026) ist das erste Major Release unter dem Open-Governance-Modell des Projekts und das erste in einem geplanten Jahresrhythmus. Jedes `future.v8_*`-Flag aus v7 wird zum Standard (immer aktiviertes Middleware, Pass-Through-Requests, die Vite-Environment-API, Route-Modul-Splitting), die Baseline steigt auf Node 22.22+, React 19.2.7+ und Vite 7+, alle Pakete erscheinen rein als ESM mit ES2022 als Ziel, `react-router-dom` wird entfernt und die Node-Adapter wechseln zu einem von Remix gepflegten Fetch-Server, während `create-react-router` seinen Fetch-Polyfill durch nativen `fetch` ersetzt.
Nitro v3.0.260603-beta: Custom Framework Commands und defaultPreset-Config
frameworks

Nitro v3.0.260603-beta: Custom Framework Commands und defaultPreset-Config

Der neueste Nitro-Beta fügt Support für benutzerdefinierte Framework-Preview- und Deploy-Befehle hinzu, führt die defaultPreset-Config-Option ein und behebt einen Edge-Case beim Type-Stripping.

Kommentare

Anmelden Melden Sie sich an, um an der Diskussion teilzunehmen.

Noch keine Kommentare. Seien Sie der Erste, der seine Gedanken teilt.