请选择 进入手机版 | 继续访问电脑版
 找回密码
 立即注册

QQ登录

只需一步,快速开始

82110249
金牌服务用户   /  发表于:2021-9-26 00:36  /   查看:2157  /  回复:6
1金币
背景:由于信息安全需求,扫描出漏洞,需要隐藏Jquery的版本号。如何隐藏版本号?

附件: 您需要 登录 才可以下载或查看,没有帐号?立即注册

最佳答案

查看完整内容

您好,经过我们的调查发现3.2.1版本的确存在被xss攻击的风险,有漏洞的方法是jquery.htmlPrefilter这个方法,不过这个方法只有在您自己写js并且使用jqurey写类似于$.()代码的方式去创建dom元素时才会有被攻击的风险。而活字格并没有使用类似代码。所以只要您没写js代码就是安全的,如果写了只要不是类似上述代码的使用了jquery.htmlPrefilter这个方法的话也是安全的。详细信息您可以参考下图。我们也在计划着去升级底层的jqurey ...

6 个回复

倒序浏览
最佳答案
最佳答案
Lay.Li悬赏达人认证 活字格认证
超级版主   /  发表于:2021-9-26 00:36:47
来自 7#
本帖最后由 Lay.Li 于 2021-9-28 18:01 编辑
Lay.Li 发表于 2021-9-27 17:38
收到,我们这边调查一些,有了解决方案及时通知您。

您好,经过我们的调查发现3.2.1版本的确存在被xss攻击的风险,有漏洞的方法是jquery.htmlPrefilter这个方法,不过这个方法只有在您自己写js并且使用jqurey写类似于$.(<div></div>)代码的方式去创建dom元素时才会有被攻击的风险。而活字格并没有使用类似代码。所以只要您没写js代码就是安全的,如果写了只要不是类似上述代码的使用了jquery.htmlPrefilter这个方法的话也是安全的。详细信息您可以参考下图。我们也在计划着去升级底层的jqurey版本,不过jquery官方为了修复这个漏洞在之后的版本中对底层的代码改动是非常大的,所以升级jquery的版本对底层的东西要更改和测试的工作量是非常大的,所以需要一定的时间。不过我们会在未来的版本中去实现的。感谢您对活字格的支持




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复 使用道具 举报
Lay.Li悬赏达人认证 活字格认证
超级版主   /  发表于:2021-9-26 10:11:22
2#
您好,问一下您是用什么扫描工具扫描出来的漏洞,可以把那个扫描结果已经解决方案给我们截图分析一下吗。因为我们之前没有遇到过因为要隐藏jquery而出现的漏洞,最多也就是因为jqurey版本过低的安全漏洞,不过这个版本并不属于版本低的jquery行列。所以希望您能上传一下那个分析结果的截图,我们这么分析一下。
回复 使用道具 举报
82110249
金牌服务用户   /  发表于:2021-9-26 18:47:43
3#
Lay.Li 发表于 2021-9-26 10:11
您好,问一下您是用什么扫描工具扫描出来的漏洞,可以把那个扫描结果已经解决方案给我们截图分析一下吗。因 ...

我这边和同事沟通过,确实是Jquery版本过低的安全漏洞。这边有什么解决方案吗?
回复 使用道具 举报
Lay.Li悬赏达人认证 活字格认证
超级版主   /  发表于:2021-9-27 09:30:36
4#
82110249 发表于 2021-9-26 18:47
我这边和同事沟通过,确实是Jquery版本过低的安全漏洞。这边有什么解决方案吗?

您好,咱们活字格是经过权威机构的安全检测的,您同事是怎么确定这个漏洞的呢,这个漏洞带来的影响是什么呢,您可以让您的同事给一张漏洞分析的截图嘛。因为我们这边实在是没有遇到过这样的漏洞,一般因为版本过低而产生漏洞的jquery是版本1.x 2.x 还有1.12jQuery&<2.2 jQuery。一张扫描工具的截图的也可以让我们更好的理解漏洞产生的原因,更好的解决问题。
jquery版本过低的安全漏洞
回复 使用道具 举报
82110249
金牌服务用户   /  发表于:2021-9-27 16:23:14
5#
Lay.Li 发表于 2021-9-27 09:30
您好,咱们活字格是经过权威机构的安全检测的,您同事是怎么确定这个漏洞的呢,这个漏洞带来的影响是什么 ...


你这边看看

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复 使用道具 举报
Lay.Li悬赏达人认证 活字格认证
超级版主   /  发表于:2021-9-27 17:38:41
6#

收到,我们这边调查一些,有了解决方案及时通知您。
回复 使用道具 举报
您需要登录后才可以回帖 登录 | 立即注册
返回顶部