Connect with us

Entwicklung & Code

Webframework Astro 5.9 wappnet sich gegen XSS-Attacken


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Das JavaScript-Webframework Astro legt in Version 5.9 den Fokus auf Security und erlaubt die experimentelle Nutzung der Content Security Policy (CSP). Zudem hat das Astro-Team eine Helper-Funktion für das Rendern von Markdown-Inhalten hinzugefügt.

Das neue Release lässt sich mittels automatisiertem CLI-Tool @astrojs/upgrade oder manuell per Paketmanager installieren. Hierbei ist die empfohlene Methode npx (npx @astrojs/upgrade).

CSP-Support gegen Cross-Site-Scripting

Wie das Astro-Team ausführt, zählen Cross-Site-Scripting-Angriffe (XSS) zu den häufigsten Attacken auf Websites. Standardmäßig können Webseiten beliebige Skripte und Styles von einer beliebigen Quelle laden. Die beste Abwehr gegen XSS sei es demnach, das einzuschränken. Hier kommt die Content Security Policy ins Spiel, indem sie die Ziele auf eine Liste vertrauenswürdiger Quellen einschränkt.

Astro 5.9 bringt für CSP experimentellen Support out-of-the-box mit. CSP lässt sich dadurch in allen Render-Modi (statische Seiten, dynamische Seiten und Single-Page-Anwendungen) einsetzen, wobei eine hohe Flexibilität und Typsicherheit gegeben sein sollen. Der Workaround unsafe-inline soll hierdurch überflüssig werden.

Um CSP in Astro zu nutzen, ist es nötig, das experimentelle Flag zu aktivieren:


import { defineConfig } from "astro/config"

export default defineConfig({
    experimental: {
        csp: true
    }
})


Entwicklerinnen und Entwickler, die zum Beispiel via Middleware bereits den Content-Security-Policy-Header verwenden, können das weiterhin tun. Der Browser wird dann die strengere Richtlinie des Headers und des -Elements verwenden. Letzteres lässt sich zudem konfigurieren, um beispielsweise den Standard-Algorithmus zu ändern oder zusätzliche Direktiven hinzuzufügen.


enterJS Web Security Day

enterJS Web Security Day

(Bild: Alexander Supertramp/Shutterstock.com)

Neun von zehn Webanwendungen haben Sicherheitslücken – höchste Zeit für Web Developer, zu handeln. Wie sie sich gegen Angriffe wehren und ihre Anwendungen absichern können, zeigt der erste enterJS Web Security Day am 9. Oktober 2025. Auf der Online-Konferenz von dpunkt.verlag und iX behandeln Security-Expertinnen und -Experten Themen wie automatisierte Sicherheitsprüfungen, den Einsatz von Passkeys und den Schutz vor KI-basierten Angriffen.

Highlights aus dem Programm:

Tickets zur Veranstaltung – derzeit mit Frühbucherrabatt – sind im enterJS-Ticketshop verfügbar.

Markdown-Rendering in Content Loadern

In Astro war es bisher so, dass Entwicklerinnen und Entwickler zum Rendern von Markdown-Inhalten in einem Content Loader selbst mit dem Parsen von Markdown umgehen mussten. Das konnte laut dem Astro-Team zu Verwirrung führen, da es nicht mit der Funktionsweise des Markdown-Renderns auf anderen Teilen der Seite übereinstimmte und eine andere Konfiguration nutzte.

Daher fügt Astro 5.9 dem Loader Context eine neue Hilfsfunktion hinzu: renderMarkdown. Sie erlaubt das Rendern von Markdown-Inhalten direkt innerhalb der Loader. Dabei verwendet sie die gleichen Einstellungen und Plug-ins wie der Renderer, der für Markdown-Dateien in Astro zum Einsatz kommt, inklusive im Astro-Projekt konfigurierter Markdown-Einstellungen.

Zu den weiteren Updates zählt, dass sich Standard-Styles für experimentelle Responsive Images nun deaktivieren lassen und Astro-Adapter das Logging für nicht unterstützte Features unterdrücken können.

Detaillierte Informationen zu den Highlights in Astro 5.9 bietet der Astro-Blog.


(mai)



Source link

Verwandte Themen:
Weiterlesen
Kommentar schreiben

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Entwicklung & Code

KubeSphere entfernt Open-Source-Dateien und stellt Support ein


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Die chinesische Kubernetes-Plattform KubeSphere hat auf GitHub angekündigt, die Open-Source-Version des Produkts zurückzuziehen und den kostenlosen Support einzustellen: „Ab dem Datum dieser Ankündigung werden die Download-Links für die Open-Source-Version von KubeSphere deaktiviert und der kostenlose technische Support eingestellt.“

Das Kernprojekt von KubeSphere auf GitHub bleibt jedoch Open Source unter Apache-2-Lizenz. Als Grund für den Wechsel nennt der Hersteller die Änderung der Digitalisierung mit Gen AI, wodurch auch die Infrastruktur-Branche tiefgreifende Veränderungen erfahren hat. „Um sich an die neue Ära anzupassen, die Produktkapazitäten und die Servicequalität weiter zu verbessern und sich auf die Forschung und Entwicklung von Kerntechnologien sowie die Optimierung kommerzieller Lösungen zu konzentrieren, hat das Unternehmen nach mehrjähriger Planung und sorgfältiger Prüfung beschlossen, die folgenden Anpassungen am Open-Source-Projekt KubeSphere vorzunehmen.“ Es folgt die oben genannte Ankündigung.

Welche aktuellen oder künftigen Produkte konkret nicht mehr Open Source sind, ist der Ankündigung nicht zu entnehmen. Auf der Webseite weist der Hersteller derzeit sogar noch auf die CNCF-Zertifizierung hin. Nutzern von KubeSphere rät der Diskussionsbeitrag, sich für eine kommerzielle Version an den Support zu wenden.

Der Beitrag ist auf Chinesisch, darunter findet sich eine englische Übersetzung. Wir haben mit KI-Hilfe direkt aus dem Chinesischen übersetzt.


(who)



Source link

Weiterlesen

Entwicklung & Code

JetBrains: Preissprung bei Entwicklungsumgebungen ab 1. Oktober


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Das tschechische Softwareunternehmen JetBrains hat angekündigt, seine Preise am 1. Oktober 2025 anzuziehen. Nach drei Jahren der Preisstabilität sieht sich der Hersteller beliebter Entwicklungsumgebungen (Integrated Development Environments, IDEs) aufgrund der Inflation gezwungen, die Preise für Abonnements zu erhöhen. Wer im Voraus zahlt, kann die bisherigen Preise noch für eine begrenzte Zeitdauer über den 1. Oktober hinaus beibehalten.

Preissteigerungen für IDEs, .NET-Tools, dotUltimate und All Products Pack

Betroffen sind die Abos für die JetBrains-Entwicklungsumgebungen – wie IntelliJ IDEA, WebStorm oder PhpStorm –, die .NET-Tools, das .NET-Toolkit dotUltimate und die IDE-Sammlung All Products Pack. Auf einer Webseite informiert JetBrains über die Preisänderungen. Beispielsweise erhöhen sich die Kosten der IDE IntelliJ IDEA Ultimate für den individuellen Einsatz bei jährlicher Zahlweise von 169 Euro auf 199 Euro (plus Mehrwertsteuer), bei monatlicher Zahlung von 16,90 Euro auf 19,90 Euro – jeweils auf das erste Nutzungsjahr bezogen. Für Unternehmen fallen die Steigerungen happiger aus: Das gleiche Produkt kostet pro User und Jahr derzeit 599 Euro (oder 59,90 Euro monatlich), ab dem 1. Oktober 719 Euro (oder 71,90 Euro monatlich) – eine Erhöhung um rund 20 Prozent.


Kosten für IntelliJ IDEA Ultimate für die individuelle Nutzung

Kosten für IntelliJ IDEA Ultimate für die individuelle Nutzung

Kosten für IntelliJ IDEA Ultimate für die individuelle Nutzung

(Bild: JetBrains)


Kosten für IntelliJ IDEA Ultimate für Unternehmen

Kosten für IntelliJ IDEA Ultimate für Unternehmen

Kosten für IntelliJ IDEA Ultimate für Unternehmen

(Bild: JetBrains)

Beim All Products Pack, das aus elf Entwicklungsumgebungen und weiteren Inhalten besteht, steigen die Preise für den individuellen Einsatz von 289 Euro auf 299 Euro pro Jahr an, für den Einsatz in Unternehmen pro Jahr und User von 779 Euro auf 979 Euro.

Für bestimmte Nutzergruppen wie Lehrkräfte, Schülerinnen und Schüler oder Core Maintainer von Open-Source-Projekten sind weiterhin kostenfreie Angebote aufgeführt.

Alternative: Im Voraus bezahlen und sparen

JetBrains bietet seinen bestehenden sowie neuen Kundinnen und Kunden die Möglichkeit, im Voraus noch zu den derzeitigen Preisen zu bezahlen: Für individuelle Abos gilt dieser dann bis zu drei Jahre lang, für kommerzielle bis zu zwei Jahre. Dann wird die entsprechende Zahlung jedoch auf einen Schlag vor dem 1. Oktober 2025 fällig.

Weitere Details bieten der JetBrains-Blog und die Preisübersichtsseite.


(mai)



Source link

Weiterlesen

Entwicklung & Code

Neu in .NET 9.0 [32]: Verbesserte Debugger-Ansicht für Dictionary-Klassen


Dr. Holger Schwichtenberg ist technischer Leiter des Expertennetzwerks www.IT-Visions.de, das mit 53 renommierten Experten zahlreiche mittlere und große Unternehmen durch Beratungen und Schulungen sowie bei der Softwareentwicklung unterstützt. Durch seine Auftritte auf zahlreichen nationalen und internationalen Fachkonferenzen sowie mehr als 90 Fachbücher und mehr als 1500 Fachartikel gehört Holger Schwichtenberg zu den bekanntesten Experten für .NET und Webtechniken in Deutschland.



Source link

Weiterlesen

Beliebt