rjd*_*olb 1 html javascript security jquery
我有一个只能通过https访问的网站.
它不会从其他来源加载任何内容.所以所有内容都在本地网络服务器上.
使用Retire.js Chrome插件我得到一个警告,我所包含的jquery 1.8.3容易被'Selector解释为HTML'(jQuery bug 11290)
我正在努力推动快速升级,但我需要一些更具体的信息来激励升级到权力.我的问题是:
鉴于上述情况,我应该担心吗?
这会导致XSS类型攻击吗?
错误告诉你的是jQuery可能错误地识别包含<as作为HTML片段的选择器,并尝试解析并创建相关元素.
所以漏洞就是这样,一个巧妙设计的选择器,如果然后传递给jQuery,可以定义一个script标签,然后在页面的上下文中执行任意脚本代码,可能从页面获取私人信息并发送它对有恶意(或仅仅是有意义)意图的人.
这很有用,如果用户A可以编写一个选择器,稍后将在用户B的会话中提供给jQuery,让用户A从用户B的页面窃取信息.(如果用户可以在他们自己的页面上以这种方式"狡猾"jQuery,这无关紧要;他们可以从控制台或"另存为"做更糟糕的事情.)
所以:如果您的代码中没有任何内容允许用户提供将被保存然后由其他用户检索并传递给jQuery的选择器,我就不会那么担心了.如果是这样(有或没有修复的漏洞),我会检查这些选择琴弦真的很用心.我说"有或没有bug",因为如果你没有过滤用户输入的内容,他们仍然只能提供第一个非空白字符的HTML片段<,这仍然会导致jQuery将其解析为HTML片段.
| 归档时间: |
|
| 查看次数: |
1309 次 |
| 最近记录: |