lisanping09-bit commented on PR #12328: URL: https://github.com/apache/gluten/pull/12328#issuecomment-4825008203
> 将[漂白剂](https://github.com/mozilla/bleach)的浓度从 6.1.0 提高到 6.4.0。 > > 更新日志 > _资料来源:[bleach 的更新日志](https://github.com/mozilla/bleach/blob/main/CHANGES)。_ > > > ## 版本 6.4.0(2026 年 6 月 5 日) > > **注意:2026年6月5日:Bleach 已停止维护。未来不会发布任何版本,包括安全问题修复版本。** > > 参见问题:`<https://github.com/mozilla/bleach/issues/698>`__ > > **向后不兼容的更改** > > > > * 已停止支持 PyPy 3.10。([#764](https://redirect.github.com/mozilla/bleach/issues/764)) > > > > **安全修复** > > > > * 修复错误 2023812 / [GHSA-8rfp-98v4-mmr6](https://github.com/advisories/GHSA-8rfp-98v4-mmr6)。 > > 修复 sanitize_uri_value 的 XSS 问题,该问题会导致包含 Unicode 不可见字符的不允许的方案不会被拒绝。 > > 例如:: > > import bleach payload1 = 'Click' result1 = bleach.clean(payload1) print(repr(result1)) > > 输出:: > > '点击' > > 详情请参阅公告。 > > * 修复[GHSA-gj48-438w-jh9v](https://github.com/advisories/GHSA-gj48-438w-jh9v)。 > > 修复了 formaction 属性中 URI 清理未生效的问题。 > > 详情请参阅公告。 > > > > **错误修复** > > > > * 添加对 PyPy 3.11 的支持。([#764](https://redirect.github.com/mozilla/bleach/issues/764)) > > * 在 tinycss2 中降低版本上限。([#772](https://redirect.github.com/mozilla/bleach/issues/772)) > > 这样就省去了我们需要不断检查和更新的一项内容。现在,用户需要自行负责确保他们使用的 tinycss2 版本的正确性。 > > > > ## 版本 6.3.0(2025 年 10 月 27 日) > > (节选) > > 提交 > * [`f0355a7`](https://github.com/mozilla/bleach/commit/f0355a7af00500482c5292c6c83290c6a178068d)修复:修复 CHANGES 中的最后发布日期 > * [`ae4e8a2`](https://github.com/mozilla/bleach/commit/ae4e8a26706516ad01b92e66321b480208a440da)任务:漂白剂 6.4.0 和最终版本 > * [`970df58`](https://github.com/mozilla/bleach/commit/970df58e9f0c55cc52244f3f0106e473a40d886d)修复:formaction 属性中的 uri 清理 > * [`7c4867c`](https://github.com/mozilla/bleach/commit/7c4867c32344d1c961107fae62240a6f0dc680dc)修复:使用 Unicode 不可见字符绕过允许协议测试中的 XSS 漏洞 > * [`913ab75`](https://github.com/mozilla/bleach/commit/913ab75992b845e2c9c060c41f24d46921db4693)修复方案:减少工作流作业中的冗余 > * [`218c15a`](https://github.com/mozilla/bleach/commit/218c15af455c8dec14f98fcb2e235f8680e93930)修复:重构 pip 缓存 > * [`4f0b097`](https://github.com/mozilla/bleach/commit/4f0b097bf80548a022050e2f71f024d755a9f154)修复:修复 tox 平台限制 > * [`e95a79d`](https://github.com/mozilla/bleach/commit/e95a79d07bb5d792425c2bc0ef5dd03f6614f3bb)任务:更新 pytest > * [`91539d4`](https://github.com/mozilla/bleach/commit/91539d4e80d4685b8f2bedc79076ff0ff6c1b911)将 actions/cache 从 5.0.3 升级到 5.0.4 > * [`cd47b4c`](https://github.com/mozilla/bleach/commit/cd47b4ce495859065da23c2116f651e591e1e90d)修复:处理不是标签的左尖括号([#733](https://redirect.github.com/mozilla/bleach/issues/733)) > * [比较视图](https://github.com/mozilla/bleach/compare/v6.1.0...v6.4.0)中可查看其他提交记录[](https://github.com/mozilla/bleach/compare/v6.1.0...v6.4.0) > > > [](https://docs.github.com/en/github/managing-security-vulnerabilities/about-dependabot-security-updates#about-compatibility-scores) > > 只要您不自行修改此 PR,Dependabot 将自动解决所有冲突。您也可以通过评论手动触发 rebase `@dependabot rebase`。 > > Dependabot 命令和选项 -- This is an automated message from the Apache Git Service. To respond to the message, please log on to GitHub and use the URL above to go to the specific comment. To unsubscribe, e-mail: [email protected] For queries about this service, please contact Infrastructure at: [email protected] --------------------------------------------------------------------- To unsubscribe, e-mail: [email protected] For additional commands, e-mail: [email protected]
