当前版本的jQuery,过滤用户输入数据所使用的正则表达式存在缺陷,导致产生XSS 漏洞。
1、起因
收到第三方的渗透测试报告说:当前JQuery版本(jquery-1.9.1)有jQuery低版本存在跨站风险如下图:
由测试结果切图可以看出引起XSS漏洞的命令: $("<img src=x onerror=alert(1)>")
2、修复验证过程:
写一个简单的测试页面,如下内容
<html>
<head>
<title>test</title>
<script src="https://code.jquery.com/jquery-1.9.1.min.js"></script>
</head>
<body>
<div>
Hello,欢迎测试JQuery,XSS 漏洞
</div>
</body>
</html>
将JQuery换成当前最新版本(jquery-3.6.0),结果一样。
3、结论 (3.6.0版本也未能修复JQ产生的XSS漏洞)
1)、升级JQuery最新版本也未必能修复XSS漏洞。
2)、$("<img src=x onerror=alert(1)>") 是不是正常的命令导致正则表达式未能检测到?
暂无找到方法修复这个命令的XSS漏洞,有的话欢迎留言。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 阿里最新开源QwQ-32B,效果媲美deepseek-r1满血版,部署成本又又又降低了!
· SQL Server 2025 AI相关能力初探
· 单线程的Redis速度为什么快?
· AI编程工具终极对决:字节Trae VS Cursor,谁才是开发者新宠?
· 开源Multi-agent AI智能体框架aevatar.ai,欢迎大家贡献代码