jQuery 3.5.0 ได้ปิดช่องโหว่ Cross-site Scripting (XSS) ลงเป็นที่เรียบร้อยแล้ว

jQuery 3.5.0 ได้ปิดช่องโหว่ Cross-site Scripting (XSS) ลงเป็นที่เรียบร้อยแล้ว

jQuery 3.5.0 ได้ปิดช่องโหว่
jQuery 3.5.0 ได้ปิดช่องโหว่ Cross-site Scripting ไม่นานมานี้ Masato Kinugawa แฮกเกอร์ชาวญี่ปุ่นได้ค้นพบช่องโหว่ Cross-site scripting (XSS) ในตัวระบบ jQuery ซึ่งเขาได้อธิบายว่าสามารถทำได้โดยการใช้ Regex operation ในตัว jQuery.htmlPrefilter
Cross-site Scripting ชื่อย่อว่า XSS โดยเว็บแอปพลิเคชันที่มีช่องโหว่ประเภทนี้ อนุญาตให้ผู้ไม่หวังดีสามารถใส่ JavaScript ให้ทำงานภายใต้ Domain ของเป้าหมาย ดังนั้น ผู้ไม่หวังดีสามารถใช้ XSS เพื่อขโมยข้อมูลของผู้ใช้งานคนอื่นได้
อ้างอิง : https://blog.tamacorp.co/xss/
เดิมที jQuery.htmlPrefilter จะคอยตรวจสอบว่าในตัว Closing tags ทั้งหมดนั้นเป็นไปตามมาตรฐานของ XHTML ตัวอย่างเช่น  jQuery(”
“) จะถูกเปลี่ยนเป็น jQuery(”
” อย่างไรก็ตาม มีการค้นพบว่า Regex นี้สามารถใช้ในการโจมตีแบบ XSS ได้

ซึ่งใน jQuery 3.5.0 ที่ได้รับการอัปเดตล่าสุด ทางผู้พัฒนาได้ทำการแก้ไขอุดช่องโหว่นี้เป็นที่เรียบร้อยแล้ว โดยฟังก์ชัน jQuery.htmlPrefilter จะไม่ใช้ Regex และปล่อยให้ค่า String นั้นยังถูกคงค่าเดิมเอาไว้
อย่างไรก็ตาม เมื่ออัปเดตแล้วโค้ดเดิมที่ใช้การทำงานของ jQuery.htmlPrefilter อาจจะเกิดข้อผิดพลาดขึ้นได้ ซึ่งทางผู้พัฒนาได้แนะนำให้ใช้ปลั๊กอิน jQuery migrate เพื่ออ้างอิงโค้ดใหม่อีกครั้ง แทงหวยออนไลน์

ความคิดเห็น

แสดงความคิดเห็น

โพสต์ยอดนิยมจากบล็อกนี้

ดัชนีฮั่งเส็งเปิดลบ 748.48 จุด วิตก ‘ทรัมป์’ ทำสงครามการค้าจีนรอบใหม่

รูปภาพ
ดัชนีฮั่งเส็งเปิดลบ 748.48 จุด วิตก ‘ทรัมป์’ ทำสงครามการค้าจีนรอบใหม่ ดัชนีฮั่งเส็งเปิดลบ ดัชนีฮั่งเส็งตลาดหุ้นฮ่องกงเปิดปรับตัวลงในวันนี้ เนื่องจากนักลงทุนวิตกเกี่ยวกับความตึงเครียดระหว่างสหรัฐและจีน หลังจากประธานาธิบดีโดนัลด์ ทรัมป์ ขู่ที่จะเก็บภาษีนำเข้าสินค้าจีนรอบใหม่เพื่อตอบโต้จีนที่เป็นต้นตอของไวรัสโควิด-19 ซึ่งแพร่ระบาด และส่งผลกระทบต่อเศรษฐกิจทั่วโลก 7m บ้านผลบอล ufabet สำนักข่าวซินหัวรายงานว่า ดัชนีฮั่งเส็งเปิดลดลง 748.48 จุด หรือ -3.04% แตะที่ 23,895.11 จุด
อ่านเพิ่มเติม

รวมฟีเจอร์ลับสุดยอดที่ Apple ไม่ได้พูดถึง ใน iOS 14 มีแต่เด็ด ๆ ทั้งนั้นเลยนะ!!

รูปภาพ
รวมฟีเจอร์ลับสุดยอดที่ Apple ไม่ได้พูดถึง ใน iOS 14 มีแต่เด็ด ๆ ทั้งนั้นเลยนะ!! เมื่อวานนี้ Apple ได้เปิดตัว iOS 1 4 ในคีย์โน้ตเปิดตัวผลิตภัณฑ์ ในงานประชุมใหญ่ WWDC 2020 มีฟีเจอร์ที่เปิดตัวใหม่ ๆ มากมาย เช่น วิตเจ็ต (Widgets), คลังแอป (App Library), ความสามารถใหม่ในแอปข้อความ แผนที่ และอื่น ๆ อีกมากมาย แต่ก็ยังมีฟีเจอร์เด็ด ๆ ที่ยังไม่ถูกพูดถึงในงานเปิดตัวที่ผ่านมา ตามคอนเซ็ปต์งานนี้ เน้นด้านความปลอดภัยของผู้ใช้เป็นหลัก คีย์บอร์ด ตัวเลือกอิโมจิ  – ต่อจากนี้การค้นหาอิโมจิจะเป็นเรื่องง่ายขึ้น เพียงเราค้นหาคำค้นหา (Keywords) ของอิโมจิรูปนั้น ๆ เช่น ยิ้ม, รัก, สวัสดี, โอเค, และ 555 (หัวเราะ) <- (คำนี้ไปอยู่ในระบบได้ไงเนี่ย!?!) จากนั้นระบบจะขึ้นรูปอิโมจิที่ตรงกับคำค้นหานั้น ๆ มาให้เราเลือกกันได้เลย ง่ายกว่าเดิมตั้งเยอะ สิทธ์การเข้าถึง รูปภาพ  – ระบบจะให้ผู้ใช้เลือกให้สิทธิ์การเข้าถึงแค่บางรูปได้ หรือทุกรูป แทนการให้สิทธิ์ในการเข้าถึงไฟล์รูปทั้งหมด เครือข่ายภายใน (Local Network)  – ระบบจะขอสิทธิ์จากผู้ใช้ในการเข้าถึงเครือข่ายภายในของผู้ใช้งาน เพื่อค้นหาและเชื่อมต่อกับอ
อ่านเพิ่มเติม

ภาวะตลาดหุ้นออสเตรเลีย: S&P/ASX 200 ปิดลบ 5.00 จุด วิตกสัมพันธ์จีน-สหรัฐ

รูปภาพ
ดัชนี S&P/ASX 200 ตลาดหุ้น ออสเตรเลีย ปิดตลาดวันนี้ขยับลง เช่นเดียวกับตลาดหุ้นส่วนใหญ่ในภูมิภาคที่กังวลเกี่ยวกับสถานการณ์ที่ตึงเครียดระหว่างจีนและ สหรัฐ ดัชนี S&P/ASX 200 ขยับลง 5.00 จุด หรือ 0.09% ปิดที่ 5,775.00 จุด ดัชนี ALL ORDINARIES ตลาดหุ้นออสเตรเลียปิดวันนี้ที่ 5,884.90 จุด ลดลง 5.00 จุด, -0.08% ryt9
อ่านเพิ่มเติม