Bootstrap 3.4.1 和 4.3.1

@mdo 2019 年 2 月 13 日

今天我们发布了 Bootstrap v4.3.1 和 v3.4.1 来修补一个 XSS 漏洞，CVE-2019-8331。v4.3.1 中还包含对 v4.3.0 中添加的一些 RFS（响应式字体大小）混合的少量修复。

本周早些时候，一位开发者报告了一个类似于在 v4.1.2 和 v3.4.0 中修复的 data-target 漏洞的 XSS 问题：我们的工具提示和弹出插件的 data-template 属性缺乏对可以传递到属性值的 HTML 的适当 XSS 净化。

为了解决这个问题，我们实施了一个新的 JavaScript 净化器，只允许数据属性中使用白名单中的 HTML 元素。您可以修改我们的净化器实现来定制 HTML 元素白名单，完全禁用净化器，或者传递您自己的净化函数（如果您使用自己的库，这很有用）。但是，为了增加保护，无法通过数据属性修改净化器 - 您必须通过 JavaScript API 修改这些插件选项。

那些修改了默认模板的人，请 阅读新的 v4.3 净化器文档 或 新的 v3.4 净化器文档。

鉴于此漏洞，我们还将审核我们的安全报告工作流程，以确保它们是最新的。这将包括在我们的仓库中添加一个 SECURITY.md 文件，并确保我们的私有渠道和流程是最新的，并与团队一起记录。

感谢 poiu 向 Bootstrap Drupal 项目 报告漏洞，并感谢 Mark Carver 来自 Bootstrap Drupal 项目 负责任地向我们披露了这个问题。还要特别感谢我们团队的 @Johann-S、@Xhmikosr 和 @bardiharborow 对今天发布的快速响应。