首页周刊友链关于歌单追番

FE Bits Vol.34 | @antv npm 包供应链攻击,Tailwind v4.3 发布

发布于 2026-05-19 20:23 更新于 2026-05-19 20:23 1441 字 8 min read ... 访问量

cos avatar

cos

FE / ACG / 手工 / 深色模式强迫症 / INFP / 兴趣广泛养两只猫的老宅女 / remote

212 文章

21 分类

137 标签
首页 周刊
分类 标签 归档
友链 关于 歌单 追番
FE Bits Vol.35 | Deno 2.8 发布,CSS 2026 新特性梳理FE Bits Vol.34 | @antv npm 包供应链攻击,Tailwind v4.3 发布FE Bits Vol.33 | Vercel 四月安全事件、sizes auto 终结响应式图片之痛FE Bits Vol.32 | MUI v9 发布、TanStack RSC 新解、Google 打击后退按钮劫持FE Bits Vol.31 | axios 供应链攻击、JetStream 3.0 发布与视图过渡工具包FE Bits Vol.30 | TypeScript 6.0 与 Next.js 16.2 发布、Safari 26.4 新特性FE Bits Vol.29 |原生 JSON 模块落地,CSS light-dark() 支持图片切换FE Bits Vol.28 | 爱酱的诞生、Vite 8.0 正式发布、Astro 6.0 上线FE Bits Vol.27 | Oxfmt Beta 发布,Chromium「CSS 漏洞」实为 UAFFE Bits Vol.26 | Gatsby 支持 React 19,Rspress 2.0 发布FE Bits Vol.25 | Yarn 6 将用 Rust 重写,CSS Grid Lanes 进展FE Bits Vol.24 | Rolldown 1.0 RC、Anime.js v4.3 自动布局与 Chrome 145 100vw 滚动条感知FE Bits Vol.23 | jQuery 4 发布,Chrome 新增垂直标签页功能,Astro 被 Cloudflare 收购FE Bits Vol.22 | CSS @scope 全面可用,ViteLand 12 月回顾FE Bits Vol.21 | 博客圣诞特效与 Moe Copy 更新,AntV 推出 InfographicFE Bits Vol.20 | 博客更新与 FEDAY 见闻,Shadcn Create 发布FE Bits Vol.19|站点新功能与 React 披露两个新的 RSC 漏洞FE Bits Vol.17|WebGPU 主流浏览器全支持,AntD 6 正式发布FE Bits Vol.16|Cloudflare 事故报告出炉,CSSWG 确认 Masonry 布局语法 grid-lanesFE Bits Vol.15|Chrome 宽高动画重排优化,Node Type Stripping 稳定FE Bits Vol.14|Chrome 支持左右分屏、npm 强制 2FA、Rspack 1.6FE Bits Vol.13|TypeScript 首次成为 GitHub 最常用语言、VoidZero A 轮融资 1250 万美元FE Bits Vol.12|Next.js 16 发布、Docusaurus 3.9 AI 搜索、ChatGPT Atlas 发布FE Bits Vol.11|React Native 0.82 新架构落地、Bun 1.3 全栈运行时FE Bits Vol.10|React Compiler v1.0 发布、React 成立基金会,Vite 纪录片与 Vite+ 上线FE Bits Vol.9|Chrome DevTools 推出 MCP,Nuxt UI Pro 开源免费FE Bits Vol.8|PyCon 之行、Cloudflare 大 Bug 与 NPM 沙虫警报FE Bits Vol.7|chalk 和 debug 等 npm 包安全警告;Remotion 赞助 MediabunnyFE Bits Vol.6|变与不变,Chrome 17 周年与 CSS Mixins 草案FE Bits Vol.5|Nx 包被投毒、ESLint 多线程 Linting 和 Firefox 实验性 PWAFE Bits Vol.4|Next 15.5、RN 0.81、几个顺手工具FE Bits Vol.3|CSS attr() 类型化进化,PostCSS 复盘 12 年FE Bits Vol.2|V8 提速 JSON.stringify 2x,Vite 周下载首超 WebpackFE Bits Vol.1|Hello World、TanStack DB 首个 Beta 版发布
本期周刊分享离职感慨与 AI 前景讨论等个人动态。社区焦点涵盖 Next.js 严重 WebSocket SSRF 漏洞(CVE-2026-44578)、TanStack OIDC 令牌泄露导致 84 个包投毒、AntV npm 供应链攻击,以及 Tailwind CSS v4.3 正式发布(新色板、webpack 插件等)和 Bun 合并 .claude 相关 PR。文章精选包括控制无限 CSS 动画的巧妙技巧、本地优先 Web 架构解析、Node.js 26 新特性概览、跨文档视图过渡的避坑指南等。CSS 新特性关注 Chrome 149 原生支持 Gap Decorations 与 Safari 26.5 新增 :open 伪类等。工具推荐集成 AI 配对的字体浏览工具 Find Font,趣站则呈现 Dave Holloway 极具个性的 WebGL 作品集。
关于本周刊

本期网址 https://blog.cosine.ren/post/weekly-34 本周刊更新时间期望是在每周天。 推荐订阅本周刊的 RSS。 公众号 前端周周谈 FE Bits,点击阅读原文链接可查看原文。 QQ 讨论小群 598022684 / Discord 群

本周刊文章内容同时也开源在 fe-bits-weekly,欢迎关注。

今天是 2026 年 5 月 19 日,星期二。

个人动态

五一给我玩爽了!还面基了砍砍和智子大佬呜呜呜,一大坨五一去日本游玩的照片,就不放在这里了,等有心情了再单独发博客吧,这期依旧短短的。

  1. 闲逛发现的正佳广场啤酒交易站 :我什么世面没见过 :我去,这个我是真没见过,怎么啤酒交易站什么的还有涨跌的 x
  2. 周末和 bug 姐面基了!超开心!,bug 姐送的水晶超好看 ww
    水晶
    水晶
  3. 一些感慨 得知前司产研设计全都 n+1 了,有点唏嘘,有些感慨,有点遗憾。

唏嘘在我走在 2 月底,没有为了年终奖而再待几个月,因为我想做更有意思的事儿,走得毅然决然,无缝入职新公司了。

但是当时我完全没想象到居然会直接解散了,我走的时候还很真情实感的伤心了一阵子因为同事都很好。

也就是说我的跳槽错过了前司年终奖和 n+1 赔偿,可能会是人生第一次的体验。但是后续我会怎么样呢?我不知道,也许拿着赔偿可以休息休息,然后再找。

当时跳槽的时候也是觉得之前的业务太没有意思了,能感觉得出来,而现在的公司干的非常快乐非常有满足感,各方面都很开心。

真是人生无常啊,有时候真的觉得人生会不会存在很多 if 线。

看到有个评论我感觉说得很好也比较认可:「也许你继续待下去可能会错过比年终奖跟 n+1 更重要的东西」

至少我现在在现在的公司待的很好很开心,我是很满足的。

一些碎碎念

项目

最近有些无精打采的,不过假期玩的很开心,开新项目和维护旧项目都很佛系

社区动态

Next.js (CVE-2026-32485/6) 于 2026 年 5 月发布安全更新,修复 13 个安全公告,包括中间件/代理绕过(5 个)、拒绝服务(3 个,含上游 React 组件漏洞 CVE-2026-23870)、服务器端请求伪造(SSRF,1 个)、缓存中毒(2 个)与跨站脚本(XSS,2 个)。所有使用受影响版本(Next.js 13.x/14.x/15.x/16.x 及对应 react-server-dom-*)的用户应立即升级到修复版本(Next.js 15.5.18 或 16.2.6,React 相应版本)。仅打补丁可完全修复,WAF 无法可靠拦截。\

TanStack (2026-05-11):因 OIDC 令牌泄露被投毒 84 个包,一小时内被恢复,目标是窃取 AWS/SSH 等敏感密钥。只有 Router/Start 代码库受到影响,包含 42 个 monorepo 包,每个包有两个版本。所有包都在一小时内被弃用,并随后被 npm 移除。

文章

CSS 新特性

工具

趣站

喜欢的话,留下你的评论吧~

... 访问量
© 2020 - 2026 cos @cosine
Powered by theme astro-koharu · Inspired by Shoka