jQuery 3.5.1 发布 修复安全问题

2020年05月05日 08:25 次阅读 稿源:开源中国 条评论

jQuery 3.5.1 已发布,此版本修复了针对 3.5.0 的回归错误。具体来说就是,在此前的版本中将内部数据对象改为使用Object.create( null )而非普通对象 ({})。之所以这样做是为了防止与 Object.prototype 属性上的 key 发生冲突。然而,这也意味着用户(尤其是插件)无法再使用原生的 .hasOwnProperty 方法来检查 jQuery 数据中的内容,导致破坏部分代码。

访问:

阿里云“爆款特惠”主题活动- 云服务器低至0.55折 96元/年

天猫2021年货节超级红包开抢:每天3次 最高2021元

目前已恢复了这个改动,但官方计划在 jQuery 4.0 中再放回去。这个改动也是此版本中唯一的代码改动,其他的改动包括对文档和构建系统的一些小更新。

上个版本 jQuery 3.5.0 修复了 jQuery DOM 操作方法中出现的两个安全问题,例如.html().append()以及其他的 DOM 操作方法。第一个问题已在 jQuery 3.5.0 发布公告中解释过,现在解释一下第二个安全问题。

第二个问题与第一个问题非常相似,这是一个 XSS 漏洞,与传递<option>元素到 jQuery 的 DOM 操作方法有关。本质上,这是使用了一个正则表达式来包裹<option>元素与<select>元素,以确保这些元素在旧版本 IE 中得到正确解析。目前的解决方法是只在需要的地方应用这些代码。幸运的是,由于 IE9 中的解析行为不同,因此可以在 IE9 中保留这个安全修复,而不会暴露在其他浏览器的漏洞中。

详情查看发布公告

访问:

阿里云 - 最高1888元通用代金券立即可用

对文章打分

jQuery 3.5.1 发布 修复安全问题

2 (33%)
已有 条意见

    最新资讯

    加载中...

    今日最热

    加载中...

    热门评论

      阿里云免费试用频道

      Top 10

      招聘


      Advertisment ad adsense googles cpro.baidu.com
      created by ceallan