Frontend Weekly 2024-05-24
CVE-2024-4367 – Arbitrary JavaScript execution in PDF.js
PDF の fontMatrix に文字列を入れて PDF.js に読み込ませることで任意コード実行が出来る脆弱性について。最新の PDF.js v4.2.67 を利用するか、isEvalSupported: falseにすることで回避できる。
CVE-2024-4367 - Arbitrary JavaScript execution in PDF.js — Codean Labs
Next.js の SSRF 脆弱性 CVE-2024-34351
Next.js で発覚した SSRF 脆弱性のまとめ記事。
Next.js の SSRF 脆弱性 CVE-2024-34351
Next.js を self hosting で運用しており、Sever Actions 内で redirect()を/からはじまるパスで呼んでいる場合に、http ヘッダーの host を書き換えることで self hosting な Next.js サーバーから任意の http リクエストを送信できてしまう/内部 API にリクエスト可能になる脆弱性。
Firebase App Hosting
Google I/O 2024 で発表された GitHub との連携も可能な SSR 対応のホスティングサービス
Introducing Firebase App Hosting
Vercel から追加の対応なしで移行できたとのこと。
Google I/O 2024 で発表された Firebase App Hosting で Next.js の SSR を試す
Notion、PDF や Google ドキュメントをサポート
PDF や Google ドキュメントを Notion ページとしてインポートできるようになりました。
Others
Beyond CSS Media Queries
メディアクエリはビューポートしか考慮できない/管理が難しいなどの問題があるので、レスポンシブの実装に Flexbox や Grid、min/max/clamp や vw/vh、コンテナクエリを使おうという記事。
Beyond CSS Media Queries — Smashing Magazine
メディアクエリで書かれてきたレスポンシブ対応はこれらで置き換え可能な上、より柔軟に様々なデバイスにフィットした画面を提供できる。ただし代替手段はどれも理解していないと扱いが難しく、実装者がデザインにない中間層も意識して実装する必要があるため、スキルが求められる。一方、メディアクエリでは、最悪デザイン通りのビューポートを実直に再現すればいいので短期で見ればお手軽ではあるが、メディアクエリの扱いに十分気を付けていないとブレークポイントが再現なく増えたり下限/上限の制御が入り乱れカオスになっていく。
React Query とタイトルにあるが、非同期な状態を扱うときに考える必要があることを分かりやすく説明している記事。React Query はそもそもデータ取得をしておらず、データ取得ライブラリではなく非同期状態マネージャーであるというのはそう。SWR なども同じ。
Real World HTTP の第 3 版ができあがりました | フューチャー技術ブログ
無料版のミニ版も更新されている。
Gemini ベースの新 WebIDE「Project IDX」をオープンベータで公開
[速報]Google、Gemini ベースの新 WebIDE「Project IDX」をオープンベータで公開
Web IDE などで次の画面を進めていけば Web 上で試せる
Android 15 は変体仮名をデフォルトでサポート。デバイス自体にバンドルすべきなのかは疑わしい。
Android 15 は変体仮名をデフォルトでサポート、Google が発表
400 行で動く React のミニマム実装、hooks を添えて。React の仕組みをざっくり知るのに良さそう。
Build Your Own React.js in 400 Lines of Code
良さそう