# 问题描述
jQuery 1.2版本至3.5.0之前版本中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
# 风险等级
中
# CVE
CVE-2020-11022
# 加固建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://blog.jquery.com/2020/04/10/jquery-3-5-0-released/
# 总结(个人解决方案)
遇到这个问题,优先按照加固建议进行调整,但发现jQuery3.5版本太高了,影响系统的正常运行,但这个漏洞涉及的版本基本已经算是全涵盖了,头大的简直不要不要的,继续查资料时偶然看到一篇文章:
若要在不升级的情况下解决此问题,请在代码中添加以下内容:
jQuery.htmlPrefilter = function( html ) {
return html;
};
1
2
3
2
3
这里马上按照方法进行修改,本人系统使用的是1.10.2版本的jQuery 但发现没有htmlPrefilter这个函数,查找资料后,发现只有jQuery1.12以上版本才有这个函数,所以我这里下载了jQuery1.12.4包,找到htmlPrefilter进行调整
附上jQuery1.12.4下载地址
最终我还是升级了jQuery3.5.0 哈哈