DocsDigest
Back to listLanguage: JA
OpenAIHonoApr 30, 2026, 9:16 AM

v4.12.16

A condensed section focused on the key takeaways first.

Original Post
OpenAIClaude

Quick Digest

Summary

A condensed section focused on the key takeaways first.

openaienmodel: gpt-5-mini-2025-08-07

hono v4.12.16 — security fixes for jsx and bodyLimit

securityhonojsxbody-limitinjectionmiddleware

Key Points

  • HTML injection fix in hono/jsx
  • bodyLimit() bypass fixed for chunked requests
  • Upgrade to v4.12.16 recommended

Summary

v4.12.16 addresses two security issues: unvalidated JSX tag names in hono/jsx that could allow HTML injection, and a bypass of bodyLimit() for chunked or unknown-length requests where oversized bodies could reach handlers. Release published 2026-04-30.

Key Points

  • Affected: hono/jsx — validation added for JSX tag names used with jsx() and createElement() to prevent HTML injection (GHSA-69xw-7hcm-h432). Avoid using untrusted input as a tag name until patched.
  • Affected: Body Limit Middleware — bodyLimit() now enforces limits for chunked/unknown-length requests; previously oversized requests could bypass enforcement and reach handlers (GHSA-9vqf-7f2p-gf9v).
  • Action: Upgrade to v4.12.16 immediately. Test middleware behavior and input handling in your app, and continue validating untrusted input on the application side.

Upgrade

  • npm: npm install hono@4.12.16
  • yarn: yarn add hono@4.12.16
  • Verify request handling for chunked uploads and any code that dynamically constructs JSX tag names.

Full Translation

Translations

A translation section that keeps the flow of the original article.

openaijamodel: gpt-5-mini-2025-08-07

v4.12.16

v4.12.16

  • 公開日時: 2026-04-30T09:16:16.000Z
  • リリース: yusukebe (コミット 90d4182)
  • Assets: 2

セキュリティ修正

このリリースには以下のセキュリティ問題に対する修正が含まれます。

Unvalidated JSX Tag Names in hono/jsx May Allow HTML Injection

  • 影響範囲: hono/jsx
  • 内容: jsx() または createElement() を使用する際の JSX タグ名に対する検証が欠落していた問題を修正しました。信頼できない入力をタグ名として使用すると HTML インジェクションを許す可能性がありました。
  • 識別子: GHSA-69xw-7hcm-h432

bodyLimit() can be bypassed for chunked / unknown-length requests

  • 影響範囲: Body Limit Middleware
  • 内容: Content-Length が信頼できない(例: chunked リクエスト)の場合にボディ長制限の適用が遅延してしまい、過大なリクエストがハンドラに到達して拒否される前に成功レスポンスを返してしまう可能性があった問題を修正しました。
  • 識別子: GHSA-9vqf-7f2p-gf9v

その他

  • リアクション: 👍 4 (meitrix8208, maciejcieslar, yunusemreaksu, gameroman), ❤️ 1 (sant123), 👀 2 (zyxto, orielhaim) — 合計 7 人がリアクションしました。
v4.12.16 | Hono | DocsDigest