idea引入jquery包引入不进去_JS框架安全报告：jQuery下载次数超过1.2亿次

尽管 Javascript 库 jQuery 仍被使用&＃xff0c;但它已不再像以前那样流行。根据开源安全平台 Snyk 统计&＃xff0c;目前至少十分之六的网站受到 jQuery XSS 漏洞的影响&＃xff0c;甚至用于扩展 jQuery 功能的 jQuery 库还引入了更多的安全问题。

Snyk 发布了 2019 年 Javascript 框架的状态安全报告&＃xff0c;该报告主要是对两个领先的 Javascript 框架(Angular 和 React)进行安全审查&＃xff0c;但同时还调查了其他三个前端 Javascript 生态系统项目的安全漏洞&＃xff1a;Vue.js、Bootstrap 和 jQuery 等。

报告显示&＃xff0c;在过去 12 个月中&＃xff0c;jQuery 的下载次数超过 1.2 亿次&＃xff0c;相当于 Vue.js(4000 万次)和 Bootstrap(7900 万次)加起来的下载次数。

在报告中&＃xff0c;Vue.js 被发现漏洞有四个&＃xff0c;但已全部修复&＃xff1b;Bootstrap 包含七个跨站点脚本(XSS)漏洞&＃xff0c;其中有三个是在 2019 年披露的&＃xff0c;目前没有任何安全修复或升级途径来避免&＃xff1b;而在 jQuery 中&＃xff0c;迄今为止被跟踪影响到所有版本的六个漏洞&＃xff0c;其中四个属于中等级别的跨站点脚本漏洞&＃xff0c;一个属于中等级别的原型污染漏洞(Prototype Pollution)&＃xff0c;另一个是低级别的拒绝服务漏洞。

Snyk 报告的结论是&＃xff0c;如果你使用 jQuery 3.4.0 以下版本&＃xff0c;则容易遭受攻击。

而根据 W3Techs 的数据&＃xff0c;使用 jQuery v1.x 的网站占了 84%&＃xff0c;这导致它们存在四个中等级别的 XSS 漏洞隐患&＃xff0c;使用 jQuery 扩展库(其中 13 个已识别漏洞)会加剧这种情况。

在 Snyk 报告中&＃xff0c;jquery.js 是一个恶意包&＃xff0c;过去 12 个月中被下载了 5444 次&＃xff0c;它的严重程度与其他两个开源社区模块的恶意版本一样高( jquery-airload 322 次下载和 github-jquery-widget 232 次下载)。

报告还列出另外三个扩展库&＃xff1a;jquery-mobile、jquery-file-upload 和 jquery-colorbox&＃xff0c;虽然其中包含任意代码执行和跨站点脚本安全漏洞&＃xff0c;且没有任何升级途径可修补这些漏洞&＃xff0c;但它们还是在过去 12 个月中总共下载了 34 万次以上。

近年来有人认为 jQuery 不再流行&＃xff0c;而根据报道目前它仍有高下载量&＃xff0c;原因可能如下&＃xff1a;

• 目前它还有大量教程、现有网站及软件等都是使用

• jQuery 相关的插件非常丰富&＃xff0c;很多新出的 js 框架也支持 jQuery

• 大量的程序员用过 jQuery&＃xff0c;熟悉它的语法和功能&＃xff0c;后期也会继续使用

参考&＃xff1a;i-programmer

◆ ◆ ◆ ◆ ◆

• 重磅&＃xff01;微软发布 Visual Studio Online&＃xff1a;Web 版 VS Code &＃43; 云开发环境

• 微软也爱 Python&＃xff01;VS Code Python 全新发布&＃xff01;Jupyter Notebook 原生支持终于来了&＃xff01;

• 微软也爱 Java&＃xff01;微软在 SpringOne 大会上宣布 Azure Spring Cloud 云服务&＃xff01;

• 在微软工作是怎样一番体验&＃xff1f;(第二篇)

• 微软内推&＃xff0c;长期有效

• VS Code 知乎 Live&＃xff0c;参与人数突破 1000 人&＃xff01;

• 代码编辑器横评&＃xff1a;为什么 VS Code 能拔得头筹

• 知否知否&＃xff0c;VS Code 不止开源

• 那些年&＃xff0c;我们一起追的 VS Code

VS Code · 编程开发 · 业界资讯