jQuery 3.5 veröffentlicht

jQuery 3.5.0 veröffentlicht: XSS-Schwachstelle geschlossen
Keine Kommentare

jQuery bekommt nur noch selten Updates, aber wenn eins veröffentlicht wird, ist es normalerweise wichtig. So ist es auch mit jQuery 3.5.0, das nun zum Download bereit steht. Die neue Version behebt eine XSS-Schwachstelle. Außerdem hat das Team hinter dem Framework-Klassiker weiter an der Vorbereitung auf v4.0 gearbeitet.

jQuery 3.5.0 ist da. Die neue Version des Klassikers unter den JavaScript-Bibliotheken schließt vor allem eine wichtige Sicherheitslücke, die bislang für XSS-Angriffe genutzt werden konnte. Die Sicherheitslücke entstand aus dem Verhalten der Methode jQuery.htmlPrefilter, die mit einer Regular Expression sicherstellt, dass schließende HTML-Tags dem XHTML-Standard entsprechen und diese gegebenenfalls entsprechend konvertiert. Das Verhalten der Methode sei seit jQuery 3.4.1 meistens unproblematisch gewesen; es habe sich jedoch gezeigt, dass sich aus einigen Ausnahmefällen ein Angriffspunkt für XSS eröffnet. Um diesen Fehler zu beheben, wurde die Regular Expression aus der Methode entfernt. Dadurch verändert sich jedoch auch das Verhalten von jQuery: Anwender, die diese RegEx in ihrem Code aktiv verwendet haben, müssen manuell nachbessern. Das bisherige Verhalten wird von jQuery 3.5.0 nicht mehr standardmäßig unterstützt. Als Alternativen steht das jQuery-Migrate-Plug-in zur Verfügung, das das alte Verhalten noch umfasst, und mit DOMPurify ergänzt werden sollte. DOMPurify ist ein Tool, das den Nutzer-Input auf mögliche XSS-Attacken prüft und entsprechende Stellen anpasst.

jQuery 3.5: Auf dem Weg zu v4

Außerdem bringt jQuery 3.5.0 ein neues Feature mit, das eine Vorbereitung auf Version 4 darstellt. v4 soll die bislang verwendeten „Positional Selectors“ aus jQuery entfernen; in v3.5.0 wurden die letzten beiden Methoden zum Ersatz dafür eingeführt: .even() und .odd(), mit denen die gleichnamigen Selektoren ausgetauscht werden.

Weitere Informationen zu jQuery 3.5.0 können dem Blogpost zum Release entnommen werden.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -