jQuery 3.5.0 ได้ปิดช่องโหว่ Cross-site Scripting (XSS) ลงเป็นที่เรียบร้อยแล้ว
jQuery 3.5.0 ได้ปิดช่องโหว่ Cross-site Scripting (XSS) ลงเป็นที่เรียบร้อยแล้ว jQuery 3.5.0 ได้ปิดช่องโหว่ Cross-site Scripting ไม่นานมานี้ Masato Kinugawa แฮกเกอร์ชาวญี่ปุ่นได้ค้นพบช่องโหว่ Cross-site scripting (XSS) ในตัวระบบ jQuery ซึ่งเขาได้อธิบายว่าสามารถทำได้โดยการใช้ Regex operation ในตัว jQuery.htmlPrefilter Cross-site Scripting ชื่อย่อว่า XSS โดยเว็บแอปพลิเคชันที่มีช่องโหว่ประเภทนี้ อนุญาตให้ผู้ไม่หวังดีสามารถใส่ JavaScript ให้ทำงานภายใต้ Domain ของเป้าหมาย ดังนั้น ผู้ไม่หวังดีสามารถใช้ XSS เพื่อขโมยข้อมูลของผู้ใช้งานคนอื่นได้ อ้างอิง : https://blog.tamacorp.co/xss/ เดิมที jQuery.htmlPrefilter จะคอยตรวจสอบว่าในตัว Closing tags ทั้งหมดนั้นเป็นไปตามมาตรฐานของ XHTML ตัวอย่างเช่น jQuery(” “) จะถูกเปลี่ยนเป็น jQuery(” ” อย่างไรก็ตาม มีการค้นพบว่า Regex นี้สามารถใช้ในการโจมตีแบบ XSS ได้ ซึ่งใน jQuery 3.5.0 ที่ได้รับการอัปเดตล่าสุด ทางผู้พัฒนาได้ทำการแก้ไขอุดช่องโหว่นี้เป็นที่เรียบร้อยแล้ว โดยฟังก์ชัน jQuery.htmlPrefilter จะไม่ใช้ Regex และปล่อยให้ค่า S