近日，网上流传的一张关于“SonarQube 和 Vue.js 涉及国家安全漏洞“的截图引发业内关注。1 月 25 日， Vue.js 创始人尤雨溪迅速在个人平台账号上对此事做了回应。

尤雨溪表示，Vue 向来非常看重安全问题，近期也并未收到漏洞报告。

在回应中，尤雨溪指出“前端框架无法被黑客用于渗透”：“截图中的文字措辞可能会让一些不懂技术的朋友以为 ‘Vue 被黑客用于渗透’ —— 这是错误的理解。黑客渗透可能会利用被攻击者所使用的前端框架中的漏洞，但黑客不会用前端框架作为其渗透的工具，因为前端框架根本没有这个功能。”

在对网上公开信息进行排查后，他发现“文中的漏洞是纯粹的后端 API 鉴权漏洞，跟前端和 Vue 没有任何关系。除此之外，并没有找到任何关于 Vue 的漏洞披露。公开的 CVE 数据库中目前也没有任何针对 Vue.js 本身的漏洞。”

作为开源项目，Vue 是以 JavaScript 源码形式发布的前端项目，每一行代码都公开接受任何安全审计。Vue 2 发布至今已经 5 年多，在全球业界被广泛使用，期间从未有被发现过真正意义上的安全漏洞。

同时，尤雨溪还对 XSS 攻击手段进行了解释，“前端作为在用户浏览器里执行的代码，漏洞类型通常都是 XSS (Cross-Site Scripting)，XSS 中文叫跨站脚本攻击，指的是通过上传恶意信息，让信息中包含的脚本被意外地渲染，从而能够在其他用户登陆时执行，窃取其他用户的数据。XSS 可以以多种形式出现，在纯粹服务端渲染的页面上也可能发生，不一定涉及前端框架。”

据了解，此前 Vue 团队私下也接到过一些所谓的 “漏洞” 报告，但这些报告几乎全部是在假设了将用户上传的任意 HTML 内容当作 Vue 模版或是 v-html 数据使用的前提下 —— 这种场景跟直接渲染用户上传的任意 HTML 没有本质区别，不管用的是不是 Vue 都会导致 XSS，而 Vue 文档里的安全章节也对这种做法有特别警告。

尤雨溪解释称：前端框架的职责是根据开发者提供的模版和数据渲染界面，如果开发者强行要求框架渲染不可信的模版然后指责框架不安全，这就如同用 innerHTML 渲染不可信的内容，然后指责浏览器有安全漏洞一样。

最后，他强调：只要遵循普适的前端安全常识，Vue 本身并不存在任何安全性问题。也因此，我们对于为什么 Vue 会被列入排查感到很困惑 —— 如果有哪位朋友知道详情或是漏洞细节，请发邮件到 security@vuejs.org 通知我们。如果你被同事或是上司问起，也请分享这篇文章以正视听。

据悉，目前网传的这两张截图来源不明，现已经在业内被广泛传播。其内容是“有关部门通报境外黑客正在组织利用 SonarQube 和 Vue.js 对上述单位实施网络攻击探测。因此有关部门要求境内机关、重要企事业单位对开源项目 SonarQube 和 Vue.js 的使用情况进行组织排查，重点是政府服务平台。”