尽管 Javascript 库 jQuery 仍被使用,但它已不再像以前那样流行。根据开源安全平台 Snyk 统计,目前至少十分之六的网站受到 jQuery XSS 漏洞的影响,甚至用于扩展 jQuery 功能的 jQuery 库还引入了更多的安全问题。
Snyk 发布了 2019 年 Javascript 框架的状态安全报告,该报告主要是对两个领先的 Javascript 框架(Angular 和 React)进行安全审查,但同时还调查了其他三个前端 Javascript 生态系统项目的安全漏洞:Vue.js、Bootstrap 和 jQuery 等。
报告显示,在过去 12 个月中,jQuery 的下载次数超过 1.2 亿次,相当于 Vue.js(4000 万次)和 Bootstrap(7900 万次)加起来的下载次数。
在报告中,Vue.js 被发现漏洞有四个,但已全部修复;Bootstrap 包含七个跨站点脚本(XSS)漏洞,其中有三个是在 2019 年披露的,目前没有任何安全修复或升级途径来避免;而在 jQuery 中,迄今为止被跟踪影响到所有版本的六个漏洞,其中四个属于中等级别的跨站点脚本漏洞,一个属于中等级别的原型污染漏洞(Prototype Pollution),另一个是低级别的拒绝服务漏洞。
Snyk 报告的结论是,如果你使用 jQuery 3.4.0 以下版本,则容易遭受攻击。
![6b6d59cedceb71c89cdf594ac8ee766c.png](https://img.php1.cn/3cd4a/1eebe/cd5/d67981797265d9c7.webp)
![84b241139ede4b2ba785924761e971c3.png](https://img.php1.cn/3cd4a/1eebe/cd5/4283cd4bbba41b87.png)
而根据 W3Techs 的数据,使用 jQuery v1.x 的网站占了 84%,这导致它们存在四个中等级别的 XSS 漏洞隐患,使用 jQuery 扩展库(其中 13 个已识别漏洞)会加剧这种情况。
在 Snyk 报告中,jquery.js 是一个恶意包,过去 12 个月中被下载了 5444 次,它的严重程度与其他两个开源社区模块的恶意版本一样高( jquery-airload 322 次下载和 github-jquery-widget 232 次下载)。
报告还列出另外三个扩展库:jquery-mobile、jquery-file-upload 和 jquery-colorbox,虽然其中包含任意代码执行和跨站点脚本安全漏洞,且没有任何升级途径可修补这些漏洞,但它们还是在过去 12 个月中总共下载了 34 万次以上。
近年来有人认为 jQuery 不再流行,而根据报道目前它仍有高下载量,原因可能如下:
参考:i-programmer
◆ ◆ ◆ ◆ ◆
推荐阅读:重磅!微软发布 Visual Studio Online:Web 版 VS Code + 云开发环境
微软也爱 Python!VS Code Python 全新发布!Jupyter Notebook 原生支持终于来了!
微软也爱 Java!微软在 SpringOne 大会上宣布 Azure Spring Cloud 云服务!
在微软工作是怎样一番体验?(第二篇)
微软内推,长期有效
VS Code 知乎 Live,参与人数突破 1000 人!
代码编辑器横评:为什么 VS Code 能拔得头筹
知否知否,VS Code 不止开源
那些年,我们一起追的 VS Code
玩转VS CodeVS Code · 编程开发 · 业界资讯
![acd390c0ec54b57ede560e2cd4913368.png](https://img.php1.cn/3cd4a/1eebe/cd5/1e3db12dd78db092.webp)