CVE-2015-9251

复制步骤

谷歌安全团队报告了这个中级安全漏洞。如果内容类型为 text/javascript，该漏洞允许自动执行 $.get() 的第三方参数。

在实际应用中，使用 $.get() 的应用程序如果查询不受信任/受攻击的网站，就会受到攻击。

解决问题

 成功利用此漏洞可让攻击者获取敏感信息、窃取 cookie 和/或执行 Javascript 或 HTML 代码。使用 3.0.0 之前版本 jQuery 的客户应立即升级到该版本（修复程序从未应用到 2.x 分支）。

学习与预防

跨站脚本 (XSS) 漏洞的一种表现形式是访问被攻击的网站。在这种情况下，使用$.get()命令访问的网站含有旨在访问数据或受保护子系统的代码。浏览器会在不知情的情况下执行恶意代码。

虽然使用 $.get() 时必须确保目标网站是一个已知的安全实体，但这并不总是可能的。因此，"转义 "从目标网站获取的内容是防范这种漏洞的惯用方法（"转义 "是数据消毒的一种形式）。转义内容的过程会将代码转换为无法执行的内容，从而使有效载荷变得安全。

结论

作为HeroDevs jQuery NES服务的客户，可以获得最新版本的jQuery，并应用修复程序。客户可立即获得通知，并能轻松更新系统。今天就联系HeroDevs，获得jQuery的永无止境的支持。

资源

‍NISTCVE-2015-9251条目