我们正在使用jQuery,我在国家漏洞数据库中遇到了以下jQuery漏洞:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-2379
这是否已在更新版本的jQuery中修复?该漏洞的最初发布日期是2007年4月30日。
我正在努力确保我们使用的小jQuery不会暴露此漏洞,有没有人有这样的例子?
答案 0 :(得分:6)
如果指定的URL位于远程服务器上,则该请求将被视为JSONP。
只要您使用的是JSONP,就不存在此漏洞。
此外,这个“漏洞”是愚蠢的。任何人都可以使用JSON交换数据,不只是jQuery使用它。
答案 1 :(得分:0)
使用JSONP时,仅不是问题吗?只要所有来源都是可信的,它就是安全的。
作为JS固有的东西,没有办法解决它。可能,许多现代浏览器支持的XMLHttpRequest / CORS跨源资源共享规范(但要求提供服务器配置为发送CORS头)可以用来代替JSONP并使用Douglas Crockford的JSON2库(如果可用,它还会依赖本机浏览器JSON支持。)