DOMPurify 安全更新：关键 mXSS 漏洞 (GHSA-h8r8-wccr-v5f2) 影响广泛前端应用

一个关键的跨站脚本（XSS）漏洞正迫使全球开发者紧急更新其依赖项。安全库 DOMPurify 的 3.3.1 版本被确认存在“突变型 XSS”（mXSS）漏洞，攻击者可利用“重新上下文化”过程，绕过其净化机制，在看似安全的 HTML 被重新插入文档时注入恶意脚本。该漏洞被标记为 GHSA-h8r8-wccr-v5f2，其核心风险在于，经过 DOMPurify 处理并标记为安全的内容，在特定解析条件下可能被“激活”并执行恶意代码，对依赖该库进行用户输入净化的 Web 应用构成直接威胁。

此次更新将 DOMPurify 从 3.3.1 版本升级至 3.3.2 版本，专门修复此 mXSS 向量。DOMPurify 是前端安全的关键防线，被广泛应用于 React、Vue 等现代框架以及内容管理系统（CMS）、论坛和任何需要处理用户生成 HTML 的网站中，以防止 XSS 攻击。因此，这个看似微小的版本更新（3.3.1 → 3.3.2）实则关联着海量互联网资产的安全基线。自动化依赖管理工具（如 Renovate Bot）已开始推送此安全补丁，但警告显示部分依赖项状态无法确认，需要手动检查。

对于开发和安全团队而言，此漏洞的紧迫性在于其被动触发的特性——攻击可能发生在内容被净化后的任何重新解析阶段。未能及时应用补丁的项目，其安全边界存在被穿透的风险。这不仅是单个库的更新，更是对软件供应链安全的一次压力测试，凸显了及时跟踪和响应安全公告（如 GitHub Security Advisories）的重要性。所有使用受影响版本 DOMPurify 的项目负责人应立即验证其依赖状态并完成升级。