fix(deps): update @astrojs packages

[renovate]

This PR contains the following updates:

Package	Change	Age	Confidence
@astrojs/node (source)	10.1.0 → 10.1.1
@astrojs/prism (source)	4.0.1 → 4.0.2
@astrojs/react (source)	5.0.4 → 5.0.5
astro (source)	6.3.1 → 6.3.2

---

Release Notes

withastro/astro (@​astrojs/node)

v10.1.1

Compare Source

Patch Changes

• Updated dependencies [d365c97]:
  • @​astrojs/internal-helpers@​0.9.1

withastro/astro (@​astrojs/prism)

v4.0.2

Compare Source

Patch Changes

• #​15723 9256345 Thanks @​rururux! - Fixes an issue where the <Prism /> component failed to work in Cloudflare Workers.

withastro/astro (@​astrojs/react)

v5.0.5

Compare Source

Patch Changes

• Updated dependencies [d365c97]:
  • @​astrojs/internal-helpers@​0.9.1

withastro/astro (astro)

v6.3.2

Compare Source

Patch Changes

• #​16675 11d4592 Thanks @​ascorbic! - Fixes a regression where Astro.cache was undefined when experimental.cache was not configured.

  The previous documented behavior is for Astro.cache to always be defined as a no-op shim: cache.set() warns once, cache.invalidate() throws and cache.enabled can be used to gate. This allows library and user code can call cache methods without conditional checks. The cache provider registration was being gated at the call site on experimental.cache being configured, which meant the disabled shim branch inside the provider was unreachable and the Astro.cache getter was never attached to the context.

• #​16691 0f0a4ce Thanks @​matthewp! - Fixes HTMLElement is not defined error during HMR when using components with client-side scripts (e.g. Starlight <Tabs>) and the Cloudflare adapter

• #​16562 07529ec Thanks @​matthewp! - Fixes non-prerendered routes failing when a dynamic prerendered route exists in the same project with prerenderEnvironment: 'node'

• #​16638 272185b Thanks @​ematipico! - Fixes a bug where the Astro compiler wasn't freed at the end of the build. After the fix, the memory used by the compiler is now correctly freed at the end of the build.

• #​16544 d365c97 Thanks @​matthewp! - Tightens isRemotePath() to reject control characters after a leading slash and fixes the dev image endpoint origin check

• #​16685 889e748 Thanks @​farrosfr! - Improve validation messages for security.csp.directives when script-src or style-src are incorrectly placed in the directives array.

• #​16605 772f13a Thanks @​rururux! - Fixes assetsPrefix not being available on build from astro:config/server.

• #​16556 f38dec7 Thanks @​matthewp! - Rejects double-encoded URL paths with a 400 response instead of silently falling back to partial decoding

• #​16659 38bcb25 Thanks @​jsparkdev! - Fixes & characters appearing as raw entity strings (e.g. &#​38;) in <meta> tags when viewed in link previews or raw HTML.

• Updated dependencies [d365c97, 9256345]:

  • @​astrojs/internal-helpers@​0.9.1
  • @​astrojs/markdown-remark@​7.1.2

---

Configuration

📅 Schedule: (UTC)

• Branch creation
  • At any time (no schedule defined)
• Automerge
  • At any time (no schedule defined)

🚦 Automerge: Disabled by config. Please merge this manually once you are satisfied.

♻ Rebasing: Whenever PR is behind base branch, or you tick the rebase/retry checkbox.

👻 Immortal: This PR will be recreated if closed unmerged. Get config help if that's undesired.

---

• If you want to rebase/retry this PR, check this box

---

This PR was generated by Mend Renovate. View the repository job log.

[github-actions]

Renovate PR Review Results

⚖️ Safety Assessment: ✅ Safe

🔍 Release Content Analysis

@astrojs/node 10.1.0 → 10.1.1

• 依存パッケージ @astrojs/internal-helpers を 0.9.0 → 0.9.1 に更新するのみ
• 機能変更・破壊的変更なし

@astrojs/prism 4.0.1 → 4.0.2

• <Prism /> コンポーネントが Cloudflare Workers で動作しない問題を修正
• このプロジェクトは Node.js アダプターを使用しているため直接の影響なし

@astrojs/react 5.0.4 → 5.0.5

• 依存パッケージ @astrojs/internal-helpers の更新のみ
• 機能変更・破壊的変更なし

astro 6.3.1 → 6.3.2

• バグ修正: experimental.cache 未設定時に Astro.cache が undefined になる退行を修正
• バグ修正: Cloudflare アダプター使用時の HMR エラー修正
• バグ修正: 動的プリレンダリングルートが同一プロジェクトに存在する場合の非プリレンダリングルート失敗を修正
• パフォーマンス改善: ビルド終了時にコンパイラーメモリが正しく解放されるよう修正（メモリリーク修正）
• セキュリティ修正: isRemotePath() の強化 — 先頭スラッシュ後の制御文字を拒否し、devイメージエンドポイントのオリジンチェックを修正
• セキュリティ修正: 二重エンコードされたURLパスを400レスポンスで拒否（サイレントフォールバックを廃止）
• バグ修正: リンクプレビュー表示時に <meta> タグ内の & が & として表示される問題を修正
• その他: assetsPrefix の設定値修正、CSP ディレクティブのバリデーションメッセージ改善

🎯 Impact Scope Investigation

使用箇所の特定:

• astro.config.ts: @astrojs/react、@astrojs/node（standalone モード）、astro/config を使用
• vitest.config.ts: astro/config の getViteConfig を使用
• src/content.config.ts: astro:content、astro/loaders を使用
• 35ファイルで Astro API（コンテンツコレクション、APIコンテキスト型など）を使用

影響を受けない機能:

• Astro.cache: コードベースで使用されていない → undefined バグ修正の影響なし
• isRemotePath(): コードベースで直接使用されていない → セキュリティ強化の恩恵を受けるが移行不要
• 二重エンコードURLパス: コードベースは encodeURIComponent による標準的な単一エンコードのみ使用 → 互換性問題なし
• Cloudflare 関連修正: Node.js アダプターを使用しているため非該当

依存関係への影響:

• @astrojs/internal-helpers 0.9.0 → 0.9.1（推移的依存）
• @astrojs/markdown-remark 7.1.1 → 7.1.2（推移的依存）
• pnpm-lock.yaml も適切に更新済み

💡 Recommended Actions

• 移行作業・設定変更は不要
• セキュリティ修正（制御文字の拒否、二重エンコードURLの拒否）が含まれるため、マージを推奨
• <meta> タグの & エンティティ修正により、ブログ記事のOGP表示が改善される可能性あり
• そのままマージ可能

🔗 Reference Links

• @astrojs/node CHANGELOG
• @astrojs/prism CHANGELOG
• @astrojs/react CHANGELOG
• astro CHANGELOG
• PR #16544: isRemotePath security fix
• PR #16556: Double-encoded URL rejection
• PR #16638: Compiler memory leak fix

Generated by koki-develop/claude-renovate-review

[github-actions]

🚀 Preview deployment ready!

✅ Preview URL: https://pr-1687---web-njpdbbjcea-an.a.run.app
📝 Commit SHA: 2942871 (view commit)

This comment was automatically generated by the deploy-preview workflow.