WEB安全漏洞之javascript版本漏洞

漏洞说明

在用webinspect或者appscan等工具扫描项目的时候，js版本漏洞（版本过低）是其中比较常见的一个。漏洞说明为：项目使用了存在漏洞的jquery版本，可能会导致跨站脚本攻击（XSS）。
修复该漏洞的方法为更新jquery版本，但有一个问题就是，不同的工具扫描的情况也不同，比如在项目中，我们把jqeury版本升级到v1.11.0，webinspect没有扫描出漏洞，但是AWVS则扫出了漏洞。另外还有兼容性的问题，如果一昧的将jquery版本升级到最新，功能可能会受到很大的影响，比如在将低版本的jquery升级到v1.11.0时，需要注意将代码中使用的live()方法替换为bind()。

修复方案

首先还是建议能升级jquery的话尽量升级，如果升级之后还报这个问题，而且没办法再继续升级的话，可以采用“偷鸡”的方法。基本上在jquery.js中，第一行都是其版本号信息，现在的漏洞扫描工具一般是根据其版本号判断其是否有漏洞，如下：

/*! jQuery v1.7.2 jquery.com | jquery.org/license */

因此可以把版本号更改为更高的版本号或者干脆删除版本号：

/*! jQuery | (c) 2005, 2014 jQuery Foundation, Inc. | jquery.org/license */

这样扫描工具就不会再报该漏洞了。

当然。。我在项目中本身做了XSS攻击的防御，因此这样因为Jquery版本引入的XSS漏洞其实也在后面被修复了，所以问题不大~~