关键信息 漏洞类型: 恶意代码注入到SVG图像漏洞 (#13927) 修复措施: 添加了Content-Security-Policy头到/public image api以防止恶意代码注入。 提交者: ViacheslavKlimov 合并了1个提交到 thingsboard:rc 从 dashevchenko:svgCodeInjection 分支。 标签: Ignore for release 里程碑: 4.2.1 参与者: dashevchenko, ViacheslavKlimov 时间: 3周前 其他信息 检查列表: - 审查了指南文档。 - 添加了分类拉取请求的标签。 - 指定了与修复版本对应的里程碑。 - 描述引用了特定的问题。 - 描述包含可读的变化范围。 - 描述包含关于需要添加到文档的简要说明。 - 没有合并冲突、注释的代码块或代码格式问题。 - 变更是向后兼容的或提供了升级脚本。 - 类似的PR是为PE版本打开的,以简化合并。添加了跨链接。 前端功能检查列表: - 添加了受影响组件的截图。 - 确保新API已记录。 后端功能检查列表: - 添加了相应的单元和/或集成测试。 - 如果添加了新的依赖项,则检查了依赖树是否有冲突。 - 如果添加了新的服务,则用相应的@TbCoreComponent、@TbRuleEngineComponent、@TbTransportComponent等标记了该服务。 - 如果添加了新的REST API,则更新了RestClient.java,并创建了Python REST客户端问题。 - 如果添加了新的yml属性,请确保添加了描述(在属性上方或附近)。