漏洞描述
此页面使用的旧版jQuery容易受到跨站点脚本攻击漏洞的攻击。许多站点使用location.hash来选择元素,允许有人将脚本注入页面。这个问题在jQuery 1.6.3中得到修复。 此漏洞会影响/js/jquery.js。 发现者:脚本(jQuery_Audit.script)。 攻击细节
Pattern found:
/*!
* jQuery JavaScript Library v1.3.2
* http://jquery.com
这意味着什么?
我的网站目前正在使用jQuery JavaScript Library v1.3.2
这会有麻烦吗?
答案 0 :(得分:2)
理想情况下,您应该让jQuery保持最新状态。但是,jQuery版本之间存在一些重大变化。 1.7.x开始弃用某些事件委托。 2.x开始删除对旧浏览器的支持。
对于您的情况,我建议按照建议将jQuery库更新为1.6.3。然后彻底测试您的网站,以确保一切仍然有效。
如果1.6.3仍然有效,那么我建议更新到1.7.2。然后彻底测试您的网站,以确保一切仍然有效。
如果1.7.2仍然有效,那么决定是否要继续支持IE8等旧浏览器。如果是,则尝试更新到1.11.1。如果不是,则尝试更新到2.1.1。这些是最新版本。
这可能不是一件容易的事。如果你停在1.6.3,那是可以理解的,也没关系。
答案 1 :(得分:2)
跨站点脚本不是仅限JQuery或JavaScript的漏洞。 我强烈建议您阅读以下两篇关于该主题的文章
答案 2 :(得分:0)
您可能使用某种工具扫描过您的网站。这些工具适用于制作。如您所知,1.6.3之前的所有jQuery版本都容易受到使用location.hash参数的跨站点脚本攻击,这就是它为您提供安全漏洞的原因。
建议您将jQuery版本更新到最新版本。请记住,依赖项,jQuery版本2.x不支持IE和其他旧版本的浏览器。