儘管 JavaScript 庫 jQuery 仍被使用,但它已不再像以前那樣流行。根據開源安全平台 Snyk 統計,目前至少十分之六的網站受到 jQuery XSS 漏洞的影響,甚至用於擴展 jQuery 功能的 jQuery 庫還引入了更多的安全問題。
Snyk 發布了 2019 年 JavaScript 框架的狀態安全報告,該報告主要是對兩個領先的 JavaScript 框架(Angular 和 React)進行安全審查,但同時還調查了其他三個前端 JavaScript 生態系統項目的安全漏洞:Vue.js、Bootstrap 和 jQuery 等。
報告顯示,在過去 12 個月中,jQuery 的下載次數超過 1.2 億次,相當於 Vue.js(4000 萬次)和 Bootstrap(7900 萬次)加起來的下載次數。在報告中,Vue.js 被發現漏洞有四個,但已全部修復;Bootstrap 包含七個跨站點腳本(XSS)漏洞,其中有三個是在 2019 年披露的,目前沒有任何安全修復或升級途徑來避免;而在 jQuery 中,迄今為止被跟蹤影響到所有版本的六個漏洞,其中四個屬於中等級別的跨站點腳本漏洞,一個屬於中等級別的原型污染漏洞(Prototype Pollution),另一個是低級別的拒絕服務漏洞。
Snyk 報告的結論是,如果你使用 jQuery 3.4.0 以下版本,則容易遭受攻擊。
而根據 W3Techs 的數據,使用 jQuery v1.x 的網站佔了 84%,這導致它們存在四個中等級別的 XSS 漏洞隱患,使用 jQuery 擴展庫(其中 13 個已識別漏洞)會加劇這種情況。
在 Snyk 報告中,jquery.js 是一個惡意包,過去 12 個月中被下載了 5444 次,它的嚴重程度與其他兩個開源社區模塊的惡意版本一樣高( jquery-airload 322 次下載和 github-jquery-widget 232 次下載)。
報告還列出另外三個擴展庫:jquery-mobile、jquery-file-upload 和 jquery-colorbox,雖然其中包含任意代碼執行和跨站點腳本安全漏洞,且沒有任何升級途徑可修補這些漏洞,但它們還是在過去 12 個月中總共下載了 34 萬次以上。
近年來有人認為 jQuery 不再流行,而根據報道目前它仍有高下載量,原因可能如下:
參考:i-programmer
[admin
]