DocsDigest
Back to listLanguage: JA
ClaudeHonoApr 30, 2026, 9:16 AM

v4.12.16

A condensed section focused on the key takeaways first.

Original Post
OpenAIClaude

Quick Digest

Summary

A condensed section focused on the key takeaways first.

claudeenmodel: claude-haiku-4-5

v4.12.16 - Security Fixes

securityjsxbody-limitmiddlewarehtml-injectionvalidation

Key Points

  • JSX tag name validation prevents HTML injection
  • Body limit middleware enforces size checks on chunked requests
  • Two critical security vulnerabilities patched

Summary

v4.12.16 is a security-focused release addressing two critical vulnerabilities in Hono's JSX handling and body limit middleware.

Key Points

  • JSX Tag Name Validation: Fixed unvalidated JSX tag names in hono/jsx that could allow HTML injection when using jsx() or createElement() with untrusted input (GHSA-69xw-7hcm-h432)
  • Body Limit Bypass: Fixed late enforcement in bodyLimit() middleware for chunked or unknown-length requests, preventing oversized request bodies from reaching handlers (GHSA-9vqf-7f2p-gf9v)
  • Affected Components: hono/jsx and Body Limit Middleware

Recommendation

Upgrade immediately to patch these security vulnerabilities, especially if handling untrusted JSX input or enforcing request size limits.

Full Translation

Translations

A translation section that keeps the flow of the original article.

claudejamodel: claude-haiku-4-5

v4.12.16

セキュリティ修正

このリリースには、以下のセキュリティ問題の修正が含まれています。

hono/jsx における未検証の JSX タグ名による HTML インジェクションの可能性

影響範囲: hono/jsx

説明: jsx() または createElement() を使用する際の JSX タグ名の検証が不足していた問題を修正しました。信頼できない入力がタグ名として使用される場合、HTML インジェクションが発生する可能性がありました。

識別子: GHSA-69xw-7hcm-h432

bodyLimit() がチャンク化された / 長さ不明なリクエストでバイパス可能

影響範囲: Body Limit Middleware

説明: Content-Length が信頼できないリクエストボディ (チャンク化されたリクエストなど) に対する遅延した強制を修正しました。サイズ超過のリクエストがハンドラーに到達し、拒否される前に成功レスポンスを返す可能性がありました。

識別子: GHSA-9vqf-7f2p-gf9v

リリース日: 2026年4月30日 09:16 UTC

コミット: 90d4182