漏洞概述 jQuery 3.5.0 版本发布,主要包含安全修复。该版本修复了一个正则表达式漏洞,该漏洞可能导致跨站脚本(XSS)攻击。具体来说, 函数在处理 HTML 字符串时,使用了正则表达式来确保所有闭合标签都是 XHTML 兼容的。然而,这个正则表达式在某些情况下可能会引入 XSS 漏洞。 影响范围 受影响版本:jQuery 3.5.0 之前的版本。 影响场景:当使用 函数处理包含闭合标签的 HTML 字符串时,可能会触发 XSS 漏洞。 修复方案 1. 升级 jQuery:建议用户升级到 jQuery 3.5.0 或更高版本,以修复此安全漏洞。 2. 使用 :如果不需要旧的行为,建议使用 库,并设置 选项来清理 HTML。 3. 使用 插件:如果需要旧的行为,可以使用 插件,并调用 函数来恢复旧的行为。 POC 代码 页面中未提供具体的 POC 代码,但提到了以下相关代码片段: 总结 jQuery 3.5.0 版本修复了一个可能导致 XSS 攻击的正则表达式漏洞。建议用户升级到最新版本,或使用 库来清理 HTML,以确保应用的安全性。