つみかさね
A

Angular v21.2.9

リリース日: 2026-04-17データソース: GitHub Releases, npm, endoflife.date
影響度スコア
40/ 100影響度: 中
Breaking Changes0/40
新機能5/25
バグ修正10/20
セキュリティ12/15
依存関係3/15

対応ガイド

medium|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1テスト環境でアップデートを検証
  2. 2SSR環境でのSSRF対策が正しく機能することを確認
  3. 3本番環境に適用
  4. 4動作確認を実施

影響対象

Angular SSR利用者CSP厳格運用環境

補足

  • -セキュリティ修正を含むため、SSR利用者は早めの適用を推奨します
AngularセキュリティSSRFCSPSSR

この変更が意味すること

Angular v21.2.9 がリリースされました。今回はセキュリティ関連の修正が中心です。特に platform-server でのプロトコル相対 URL による SSRF バイパスの防止は、SSR を利用している Angular アプリケーションにとって重要な修正です。

また JsonpClientBackend への CSP nonce サポート追加により、コンテンツセキュリティポリシーを厳格に運用している環境での JSONP 利用が改善されます。

主な変更点

SSRF バイパス防止(platform-server)

platform-server でプロトコル相対 URL(//example.com 形式)を利用した SSRF バイパスが防止されるようになりました。SSR 環境でサーバーサイドからのリクエストが攻撃者に悪用されるリスクが軽減されます。

Commit: e0b5078

CSP nonce サポート(JsonpClientBackend)

JsonpClientBackend に CSP nonce のサポートが追加されました。Content Security Policy で script-src に nonce を要求している環境でも、JSONP リクエストが正しく動作するようになります。

Commit: 540536c

transfer state のフォワードスラッシュエスケープ

transfer state でフォワードスラッシュがエスケープされるようになりました。これにより、クローラーが transfer state の内容をインデックスしてしまう問題が防止されます。

Commit: f603d47

HTTP Passthru の修正

リアクティブコンテキスト外で Passthru が呼ばれた際の問題が修正されました。

Commit: 63a857b

EOL / サポート状況

サイクル最新バージョンサポート終了EOL
2121.2.92026-05-192027-05-19
2020.3.182025-11-192026-11-28
1919.2.202025-05-282026-05-19
1818.2.142024-11-192025-11-21 (EOL済)
1717.3.122024-05-082025-05-15 (EOL済)

Angular 19 の EOL が 2026年5月19日 に迫っています(残り32日)。19 を利用中の方は 20 または 21 への移行を計画してください。Angular 22.0.0-next.8 も公開されており、次期メジャーバージョンが進行中です。

開発者への影響

  1. Angular SSR 利用者: SSRF バイパス防止修正が含まれます。SSR を使っている場合はアップデートを推奨します
  2. CSP 厳格運用環境: JSONP を利用している場合、CSP nonce サポートにより script-src の nonce 要求と両立できます
  3. SEO 対応者: transfer state のエスケープにより、クローラーへの不要なインデックスが防止されます
  4. Angular 19 利用者: EOL まで残り32日。20 または 21 への移行を早めに進めましょう

アップデート方法

# Angular CLI
ng update @angular/core@21.2.9 @angular/cli@21.2.9

# npm
npm install @angular/core@21.2.9

# yarn
yarn add @angular/core@21.2.9

データソース: GitHub Releases API, endoflife.date, npm Registry AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

アップデート判断

早めのアップデートを推奨

アップデートすべき場合

  • Angular SSRを利用している場合(SSRF対策)
  • CSP nonceを要求する環境でJSONPを使用している場合
  • transfer stateのクローラーインデックス問題が発生している場合

様子見でよい場合

  • SSRを利用していない場合
  • CSPやJSONPを使用していない場合
← v21.2.8

EOL / サポート状況

Angular 21ActiveEOL: 2027-05-19
Angular 20ActiveEOL: 2026-11-28
Angular 19ActiveEOL: 2026-05-19
Angular 18End of LifeEOL: 2025-11-21
Angular 17End of LifeEOL: 2025-05-15
Xでシェアはてブ
データソース: GitHub Releases API, npm Registry, endoflife.date (MIT License), NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文リリースノートをご確認ください。