复制步骤
The jQuery $.load() command provides a simple way to load content from other servers and insert it into the current web page. By design, as part of its sanitization process, it is supposed to remove “<script>” tags to ensure that malicious code cannot be inserted into the page and executed.
The vulnerability fails to recognize and remove “<script>” tags that contain a whitespace character, which can result in Cross-site Scripting attacks by including malicious code in the included script.
解决问题
使用 1.9.1 之前版本 jQuery 的客户应立即升级至该版本,因为该版本已包含修复程序。另外,需要继续使用1.6版本的客户也可以利用HeroDevs的 "永无止境的支持"(Never Ending Support)功能,该功能提供的jQuery版本已对该CVE和其他CVE进行了修复。
学习与预防
通常,jQuery 采用多种方法对数据进行消毒。在这种情况下,实际的消毒方法存在漏洞。在这种情况下,最好的商业做法是随时了解安全更新,这样一旦漏洞被公开发布,您的服务器就能在最短的时间内免受攻击。
结论
HeroDevs jQuery永无止境的支持服务可以确保您的团队拥有最新的、安全的代码,从而使您的团队的生活变得更加轻松和便捷。现在就联系HeroDevs,注册我们的全面支持服务。
资源
每当我们支持的开源软件修复了新的漏洞,我们就会发出警报。