那些遇到过的问题

jQuery 1.x是否容易受到"非显式数据类型跨站点脚本"的攻击?

Hil*_*ren 2 jquery

我们最近收到了来自https://nospam_srcclr.com的以下电子邮件(删除nospam_作为真实URL).

感谢您的及时答复.我们已经确定[我们的项目]容易受到JQuery的跨站点脚本漏洞攻击.

https://nospam_srcclr.com/security/cross-site-scripting-xss-through-execution-non-explicit-data-type/javascript/sid-2250/fix

此项目中包含JQuery版本1.11.3的副本.通过执行非显式数据类型,JQuery很容易受到跨站点脚本的攻击.这里可以看到[我们项目]中使用的易受攻击的代码部分.

为了缓解此问题,我们建议将JQuery升级到3.0.0.

jQuery 1.x实际上是不安全的吗?

and*_*dyf 6

如果你没有untrusted通过ajax 从另一个域获取任何javascript ,它仍然是安全的.

如果你这样做,你可以手动将这个简单的补丁应用到你当前的jquery:

https://github.com/jquery/jquery/commit/b078a62013782c7424a4a61a240c23c4c0b42614

  • 这是这个问题的真正答案.这是链接中提到的漏洞,另一个漏洞就是旧闻. (3认同)

归档时间:

查看次数:

499 次

最近记录:

9 年,10 月 前
相关归档
JQuery Ajax发送GET而不是POST 82
在聚焦<input>时防止iphone默认键盘 76
功能为谷歌Chrome书签 65
小于10加0到数字 63
JQuery是否支持Dictionaries(key,value)集合? 55
Twitter Bootstrap模式将html内容推向左侧 47
jQuery if语句来检查可见性 46
获取单击的<a>的DOM路径 24
Codeigniter会话用ajax调用 23
在jquery.event.drag中触发dragstart之后更新可用的放置目标 18
难疑归档
为什么处理排序数组比处理未排序数组更快? 23665
为什么char []比字符串更适合密码? 3298
如何在Python中复制文件? 2171
如何在Node.js中退出 1762
为什么在C++中读取stdin的行比Python要慢得多? 1738
在Git中撤消一个文件的工作副本修改? 1550
如何从Python字典中删除密钥? 1539
如何在Python中通过索引从列表中删除元素? 1381
如何从主机获取Docker容器的IP地址? 1221
如何获得最近提交的Git分支列表? 1197