Versões 3.0.0 a 3.10.0 do Apollo Server

A página inicial padrão do Apollo Server contém código HTML para exibir um comando curl de exemplo. Esse comando fica visível caso o pacote completo da página inicial não possa ser obtido a partir do CDN do Apollo. Em navegadores mais antigos, como o IE11, a URL do servidor é interpolada diretamente nesse comando dentro do navegador a partir de window.location.href sem codificação URI, o que pode permitir a execução de JavaScript controlado por invasores. Esse problema afeta o Apollo Server com a página inicial padrão ativada.

Para resolver o problema, atualize para a versão 3.10.1 ou posterior, na qual o comando curl de exemplo foi removido.

Como solução alternativa temporária, considere desativar a página de destino passando ApolloServerPluginLandingPageDisabled() para a opção plugins de new ApolloServer.