jQuery漏洞(NVD CVE-2007-2379)

我们正在使用jQuery,我在国家漏洞数据库中遇到了以下jQuery漏洞:

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-2379

这是在更新版本的jQuery中修复的吗? 该漏洞的最初发布日期是2007年4月30日。

我正在努力确保我们使用的小jQuery不会暴露这个漏洞,有没有人有它的例子?

看看jQuery.getJSON() :

如果指定的URL位于远程服务器上,则该请求将被视为JSONP。

在这里阅读JSONP 。

只要您使用JSONP,此漏洞就不存在。

此外,这个“漏洞”是愚蠢的。 任何人都可以使用JSON交换数据,不只是jQuery使用它。

只有当你使用JSONP 时才出现问题? 只要所有来源都是可信的,它就是安全的。

作为JS固有的东西,没有办法解决它。 可能使用许多现代浏览器支持的XMLHttpRequest / CORS跨源资源共享规范(但要求提供服务器配置为发送CORS头)可以代替JSONP并使用Douglas Crockford的JSON2库(如果可用的话,它还会依赖本机浏览器JSON支持)。

Interesting Posts

在选项卡面板extjs4.2中访问iframe

括号中的代码块在JavaScript / jQuery中意味着什么?

select2改变背景颜色

如何使用AJAX以另一种forms添加表单? 但请记住,第一个表单也添加了AJAX

使用jQuery获取多个CSS属性

Javascript – 检查是否在5秒内按下了两次键

改变jQuery UI Datepicker的位置

如何将数组值添加到新FormData?

有什么替代setHomePage函数?

基于JavaScript的分辨率为不同设备提供不同尺寸的图像