服务器之家

服务器之家 > 正文

JavaScript 框架安全报告:jQuery 下载次数超过 1.2 亿次

时间:2019-11-11 22:26     来源/作者:开源中国

尽管 JavaScriptjQuery仍被使用,但它已不再像以前那样流行。根据开源安全平台 Snyk统计,目前至少十分之六的网站受到jQuery XSS漏洞的影响,甚至用于扩展jQuery功能的 jQuery 库还引入了更多的安全问题。

Snyk发布了2019 年 JavaScript 框架的状态安全报告,该报告主要是对两个领先的 JavaScript框架(Angular和React)进行安全审查,但同时还调查了其他三个前端 JavaScript生态系统项目的安全漏洞:Vue.js、Bootstrap和jQuery等。

报告显示,在过去 12 个月中,jQuery 的下载次数超过 1.2 亿次,相当于 Vue.js(4000 万次)和 Bootstrap(7900 万次)加起来的下载次数。在报告中,Vue.js被发现漏洞有四个,但已全部修复;Bootstrap包含七个跨站点脚本(XSS)漏洞,其中有三个是在 2019年披露的,目前没有任何安全修复或升级途径来避免;而在jQuery中,迄今为止被跟踪影响到所有版本的六个漏洞,其中四个属于中等级别的跨站点脚本漏洞,一个属于中等级别的原型污染漏洞(Prototype Pollution),另一个是低级别的拒绝服务漏洞。

Snyk 报告的结论是,如果你使用 jQuery 3.4.0以下版本,则容易遭受攻击。

JavaScript 框架安全报告:jQuery 下载次数超过 1.2 亿次

JavaScript 框架安全报告:jQuery 下载次数超过 1.2 亿次

而根据 W3Techs 的数据,使用 jQuery v1.x的网站占了 84%,这导致它们存在四个中等级别的 XSS漏洞隐患,使用 jQuery 扩展库(其中 13 个已识别漏洞)会加剧这种情况。

在Snyk报告中,jquery.js是一个恶意包,过去 12个月中被下载了 5444次,它的严重程度与其他两个开源社区模块的恶意版本一样高(jquery-airload 322次下载和 github-jquery-widget 232次下载)。

报告还列出另外三个扩展库:jquery-mobile、jquery-file-upload和jquery-colorbox,虽然其中包含任意代码执行和跨站点脚本安全漏洞,且没有任何升级途径可修补这些漏洞,但它们还是在过去 12 个月中总共下载了 34 万次以上。

近年来有人认为jQuery不再流行,而根据报道目前它仍有高下载量,原因可能如下:

目前它还有大量教程、现有网站及软件等都是使用

jQuery 相关的插件非常丰富,很多新出的 js 框架也支持 jQuery

大量的程序员用过 jQuery,熟悉它的语法和功能,后期也会继续使用

标签:

相关文章

热门资讯

玄元剑仙肉身有什么用 玄元剑仙肉身境界等级划分
玄元剑仙肉身有什么用 玄元剑仙肉身境界等级划分 2019-06-21
男生常说24816是什么意思?女生说13579是什么意思?
男生常说24816是什么意思?女生说13579是什么意思? 2019-09-17
华为nova5pro和p30pro哪个好 华为nova5pro和华为p30pro对比详情
华为nova5pro和p30pro哪个好 华为nova5pro和华为p30pro对比详情 2019-06-22
Nginx服务器究竟是怎么执行PHP项目
Nginx服务器究竟是怎么执行PHP项目 2019-05-24
配置IIS网站web服务器的安全策略配置解决方案
配置IIS网站web服务器的安全策略配置解决方案 2019-05-23
返回顶部