jQuery版本低引起的漏洞——CVE-2020-11022CVE-2020-11023 jQuery版本低引起的漏洞——CVE-2020-11022/CVE-2020-11023
漏洞号:CVE-2020-11022/CVE-2020-11023
影响范围:jQuery >= 1.0.3 < 3.5.0
漏洞原理
见:
漏洞复现
要想在项⽬本地实现,可把该html保存下来,修改script的src属性为项⽬引⽤js的地址,再打开即可操作实现。
修复⽅案
1)更新jQuery到3.5.0或更⾼版本
2)使⽤XSS清理⼯具清理⽤户输⼊的HTML,官⽅推荐:
这⾥使⽤⽅案⼀,升级jQuery版本。升级jQuery
jQuery官⽹:
项⽬使⽤的jQuery是1.x。升级版本根据官⽅指引使⽤migrate插件。
网页float是什么意思搜索migrate,得到最新的Migrate插件是2016年的,但是给出了升级到jQuery3.0的途径。
按照指引,先将1.x升级⾄1.x版本最新的1.12.3,并同时使⽤migrate 1.4.1插件,对警⽰信息指出的问题进⾏修改。然后再升级⾄当前最新的3.x版本,同时使⽤migrate 3.x插件。
福州网站设计模板现在(22年3⽉)jQuery最新的版本是3.6.0。上⾯指引并未给出migrate 3.x的链接。不过在jQuery 3.6.0的发布博客中可以到。
同时也给出了3.5的升级指引和不能升级到3.5时可⽤的补丁等。
jquery下载文件插件Migrate 3.x插件下载地址:
遇到的警⽰信息
参考官⽅指引:linux系统安装谷歌浏览器教程
JQMIGRATE: jQuery.fn.focus() event shorthand is deprecated
参考jQuery.fn.click()的替换⽅法:.focus()换成.trigger(“focus”)
JQMIGRATE: jQuery.isFunction() is deprecated
怎么将java代码打包
安卓64位框架参考pe()的替换⽅法,将原来的$.isFuntion(arg)换成typeof arg === “function”
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论