安全

提示

来自deepseek解释

原文链接：https://nginx.org/en/docs/njs/security.html

安全

所有 nginx 安全问题均应报告至 F5SIRT@f5.com，或通过此处列出的方法之一进行报告。补丁使用PGP 公钥之一进行签名。

特别注意事项

njs 不会以任何方式评估动态代码，尤其是从网络接收的代码。使用 njs 评估该代码的唯一方法是在 nginx 中配置 js_import 指令。JavaScript 代码在 nginx 启动期间加载一次。

在 nginx/njs 威胁模型中，JavaScript 代码被视为与 nginx.conf 和站点证书同等可信的源。这在实际中的含义是：

• 由 JavaScript 代码修改触发的内存泄露和其他安全问题不被视为安全漏洞，而属于普通缺陷
• 应当采取措施保护 njs 所使用的 JavaScript 代码
• 如果 nginx.conf 中未包含 js_import 指令，则 nginx 不受 JavaScript 相关漏洞的影响

安全公告

js_fetch_proxy 中的堆缓冲区溢出

• 严重性：中等
• 安全公告
• CVE-2026-8711
• 不受影响版本：0.9.9+
• 受影响版本：0.9.4 – 0.9.8