JS 框架安全报告:jQuery 下载次数超过 1.2 亿次

2019年11月11日

尽管 JavaScript 库 jQuery 仍被使用,但它已不再像以前那样流行。根据开源安全平台 Snyk 统计,目前至少十分之六的网站受到 jQuery XSS 漏洞的影响,甚至用于扩展 jQuery 功能的 jQuery 库还引入了更多的安全问题。

Snyk 发布了 2019 年 JavaScript 框架的状态安全报告,该报告主要是对两个领先的 JavaScript 框架(Angular 和 React)进行安全审查,但同时还调查了其他三个前端 JavaScript 生态系统项目的安全漏洞:Vue.js、Bootstrap 和 jQuery 等。

报告显示,在过去 12 个月中,jQuery 的下载次数超过 1.2 亿次,相当于 Vue.js(4000 万次)和 Bootstrap(7900 万次)加起来的下载次数。在报告中,Vue.js 被发现漏洞有四个,但已全部修复;Bootstrap 包含七个跨站点脚本(XSS)漏洞,其中有三个是在 2019 年披露的,目前没有任何安全修复或升级途径来避免;而在 jQuery 中,迄今为止被跟踪影响到所有版本的六个漏洞,其中四个属于中等级别的跨站点脚本漏洞,一个属于中等级别的原型污染漏洞(Prototype Pollution),另一个是低级别的拒绝服务漏洞。

Snyk 报告的结论是,如果你使用 jQuery 3.4.0 以下版本,则容易遭受攻击。

而根据 W3Techs 的数据,使用 jQuery v1.x 的网站占了 84%,这导致它们存在四个中等级别的 XSS 漏洞隐患,使用 jQuery 扩展库(其中 13 个已识别漏洞)会加剧这种情况。

在 Snyk 报告中,jquery.js 是一个恶意包,过去 12 个月中被下载了 5444 次,它的严重程度与其他两个开源社区模块的恶意版本一样高( jquery-airload 322 次下载和 github-jquery-widget 232 次下载)。

报告还列出另外三个扩展库:jquery-mobile、jquery-file-upload 和 jquery-colorbox,虽然其中包含任意代码执行和跨站点脚本安全漏洞,且没有任何升级途径可修补这些漏洞,但它们还是在过去 12 个月中总共下载了 34 万次以上。

近年来有人认为 jQuery 不再流行,而根据报道目前它仍有高下载量,原因可能如下:

  • 目前它还有大量教程、现有网站及软件等都是使用
  • jQuery 相关的插件非常丰富,很多新出的 js 框架也支持 jQuery
  • 大量的程序员用过 jQuery,熟悉它的语法和功能,后期也会继续使用

参考:i-programmer

展开阅读全文
15 收藏
分享
加载中
精彩评论
王者依旧是王者,虽然不再活跃在闪光灯下。
2019-11-11 10:29
23
举报
软件有两种,一种是被人抱怨的,另一种是没人用的。
2019-11-12 12:30
11
举报
jquery的漏洞是不可解的。
因为用手工拼接html字符串是jquery开发的常态,你永远也无法控制水平参差不齐的jquery程序员拼接出怎样的html结构。
2019-11-11 09:40
9
举报
进化啥啊进化,jquery是对js的封装,又不是新的语言。
2019-11-14 15:44
7
举报
rz
dom选择jquery几乎是事实标准了
2019-11-11 08:53
6
举报
最新评论 (33)
高版本的浏览器兼容不好,你TM让我咋办
2019-11-16 09:05
0
回复
举报
关于未来操作系统该何去何从如何发展的思考
我觉得安卓上的termux要搞一个termux软件商店,用户可以从termux软件商店里安装c,c++,java,python,vim,jupyter notebook,php,R等软件,并在安卓手机和安卓平板桌面上生成这些软件的图标,用户可以直接点击这些python,vim,java等linux软件图标来启动安装的linux软件,融合了安卓应用商店和linux应用商店的系统将会成为最好的操作系统,可以超越windows,macos,ios等系统.
国内做国产操作系统的人可以往这方面发力了,可以成为适用手机,平板和电脑最完美的全平台通用操作系统。
https://github.com/termux/termux-packages
https://github.com/termux/termux-app
2019-11-16 01:05
0
回复
举报
1.11.1一把梭
2019-11-15 09:21
1
回复
举报
为什么还有那么多人用 jQuery 呢?jQuery 很多功能现在都有新的 js 语法支持了,而且如果你使用前端 MVC 框架 jQuery 很多功能也都用不到。如果你再用支持更多特性的 js 扩展语法(比如babel,nodejs,typescript 等)那就更不需要 jQuery 了。
2019-11-14 23:07
0
回复
举报
我啥都用,实话讲,jQuery的生态远不是现在MVC的生态能比的,MVC的周期还像青年快速发展期,而jquery快落幕了但是同样的生态健全完善了。
2019-11-15 10:48
2
回复
举报
小伙纸还是太年轻啊
2019-11-16 09:04
0
回复
举报
很多不从官网下,远不止这个数。
2019-11-14 15:05
0
回复
举报
javascript应该废除了,用jquery代替才是正道,就好比汇编放弃,转而使用C编程一样,jquery之于javascript,好比C之于汇编
2019-11-14 14:17
0
回复
举报
什么乱起七八糟的,jquery和javascript又不是竞争关系
2019-11-14 15:06
1
回复
举报
jquery是javascript的基础上进化来的
2019-11-14 15:10
0
回复
举报
进化啥啊进化,jquery是对js的封装,又不是新的语言。
2019-11-14 15:44
7
回复
举报
javascript应该废除,难道jquery不是用javascript写的吗😯
2019-11-14 21:24
1
回复
举报
jquery三天就能完全上手,所以用的人多
2019-11-12 21:44
3
回复
举报
很喜欢 jquery,感谢微软!
2019-11-12 13:18
2
回复
举报
好奇怪啊,XSS怎么和jQuery挂上勾,难道还有什么jQuery特性我们没有到的?分享下噢~
2019-11-12 12:39
1
回复
举报
同样疑惑,jquery只是一个js库,又不是病毒
2019-11-15 15:02
1
回复
举报
软件有两种,一种是被人抱怨的,另一种是没人用的。
2019-11-12 12:30
11
回复
举报
更多评论
33 评论
15 收藏
分享
返回顶部
顶部