尽管 JavaScript 库 jQuery 仍被使用，但它已不再像以前那样流行。根据开源安全平台 Snyk 统计，目前至少十分之六的网站受到 jQuery XSS 漏洞的影响，甚至用于扩展 jQuery 功能的 jQuery 库还引入了更多的安全问题。 Snyk 发布了 2019 年 JavaScript 框架的状态安全报告，该报告主要是对两个领先的 JavaScript 框架(Angular 和 React)进行安全审查，但同时还调查了其他三个前端 JavaScript 生态系统项目的安全漏洞：Vue....

前两周发布的 jQuery 3.4.0 除了常规更新外，更重要的是修复了一个称为“原型污染（prototype pollution）”的罕见安全漏洞。 什么是原型污染？顾名思义，原型污染就是指攻击者通过某种手段修改 JavaScript 对象的 prototype。 JavaScript 对象就跟变量一样，但它不是存储一个值（var car =“Fiat”），而是可以包含基于预定义结构的多个值 (var car ={type:"Fiat", model:"500", color:"white"})。...

据外媒 10 月 26 日报道，继 JS 挖矿引擎 CoinHive 被黑后， jQuery 的官方博客（blog.jquery.com）于近期遭网名为 “str0ng” 和 “n3tr1x” 的黑客篡改。目前，虽然没有证据表明存放在主机系统文件的服务器已遭黑客入侵， 调查显示，由于 jQuery 官方博客使用了 WordPress 平台的内容管理系统（CMS），因此黑客还有可能通过 Wordpress 已知或零日漏洞获取未经授权访问权限。 jQuery 团队在发现博客官网被黑后立即删除了黑客所发布的帖子。...