HedgeDoc 1.10.3版本发布：安全加固与SAML认证增强

HedgeDoc是一款开源的协作式Markdown编辑器，前身为CodiMD，它允许团队成员实时协作编辑文档，支持数学公式、图表、代码高亮等丰富功能。该工具特别适合技术团队编写文档、会议记录和知识库建设。

安全问题修复

本次1.10.3版本主要修复了一个重要的安全问题，涉及通过特殊构造的SVG文件上传可能导致的跨站脚本(XSS)风险。SVG文件因其本质上是XML文档，可能包含可执行脚本，这为潜在风险提供了可能。

具体来说，用户可能上传一个特殊构造的SVG文件，当其他用户查看或预览该文件时，嵌入的脚本就会在浏览器中执行。这种风险可能导致会话异常、信息异常或其他非预期操作。开发团队已经识别并修复了这个问题，建议所有用户尽快升级到最新版本。

SAML认证配置增强

在认证方面，1.10.3版本新增了两个重要的SAML配置选项：

1. CMD_SAML_WANT_ASSERTIONS_SIGNED：控制是否要求SAML断言必须签名
2. CMD_SAML_WANT_AUTHN_RESPONSE_SIGNED：控制是否要求认证响应必须签名

这些新增配置源于某些SAML实例无法满足@node-saml/passport-saml库的新默认要求。通过提供这些配置选项，管理员可以根据实际环境需求灵活调整SAML认证的安全级别，确保与各种SAML身份提供者的兼容性。

升级建议

对于正在使用HedgeDoc的生产环境，特别是允许文件上传功能的环境，强烈建议立即升级到1.10.3版本。升级过程通常只需替换容器镜像或二进制文件，然后重启服务即可。对于使用SAML认证的组织，升级后应检查新的配置选项，确保它们与现有的身份提供者设置相匹配。

HedgeDoc团队持续关注安全性和用户体验的平衡，这次更新再次体现了他们对产品安全性的重视。通过定期更新和及时修复安全问题，HedgeDoc保持了作为团队协作文档工具的可信度和可靠性。