两张来源不明的截图今日在业内被广泛传播,其内容是要求境内党政机关和重要企事业单位对两款开源项目 和 Vue.js 的使用情况进行组织排查,重点是政府服务平台。原因是有关部门通报境外黑客正在组织利用 和 Vue.js 对上述单位实施网络攻击探测。
Vue.js 创始人尤雨溪获悉此事后,迅速进行了回应,他表示 Vue 对于安全问题十分重视,但他们近期并没有收到漏洞报告。而且截图中提到的漏洞是纯粹的后端 API 鉴权漏洞,跟前端和 Vue 没有任何关系。除此之外,他们没有找到任何关于 Vue 的漏洞披露。公开的 CVE 数据库中目前也没有任何针对 Vue.js 本身的漏洞。而且 Vue 作为开源项目,又是以 源码形式发布的前端项目,每一行代码都公开接受任何安全审计。Vue 2 发布至今已经 5 年多,在全球业界被广泛使用,期间从未有被发现过真正意义上的安全漏洞。
尤雨溪在回应中指出“前端框架无法被黑客用于渗透”,解释了 XSS 攻击手段,同时对过往关于 Vue.js 的一些“漏洞”报告也进行了说明——主要原因是开发者将用户上传的任意 HTML 内容当作 Vue 模版或是 v-html 数据使用。而这种做法无论是否使用了 Vue 都会导致 XSS。
最后尤雨溪说道,Vue 本身并不存在任何安全性问题。也因此,他们对于 Vue 被列入排查感到很困惑,如果知道详情或是漏洞细节的朋友,可发邮件到 @vuejs.org 通知 Vue.js 团队。