首页 > 数说 > 关键词 > Java最新资讯 > 正文

JS 框架安全报告:jQuery 下载次数超过 1.2 亿次

2019-11-15 17:27 · 稿源:开源中国

声明:本文由站长之家内容合作伙伴 开源中国授权发布。

尽管 JavaScript 库 jQuery 仍被使用,但它已不再像以前那样流行。根据开源安全平台 Snyk 统计,目前至少十分之六的网站受到 jQuery XSS 漏洞的影响,甚至用于扩展 jQuery 功能的 jQuery 库还引入了更多的安全问题。

Snyk 发布了 2019 年 JavaScript 框架的状态安全报告,该报告主要是对两个领先的 JavaScript 框架(Angular 和 React)进行安全审查,但同时还调查了其他三个前端 JavaScript 生态系统项目的安全漏洞:Vue.js、Bootstrap 和 jQuery 等。

报告显示,在过去 12 个月中,jQuery 的下载次数超过 1.2 亿次,相当于 Vue.js(4000 万次)和 Bootstrap(7900 万次)加起来的下载次数。在报告中,Vue.js 被发现漏洞有四个,但已全部修复;Bootstrap 包含七个跨站点脚本(XSS)漏洞,其中有三个是在 2019 年披露的,目前没有任何安全修复或升级途径来避免;而在 jQuery 中,迄今为止被跟踪影响到所有版本的六个漏洞,其中四个属于中等级别的跨站点脚本漏洞,一个属于中等级别的原型污染漏洞(Prototype Pollution),另一个是低级别的拒绝服务漏洞。

Snyk 报告的结论是,如果你使用 jQuery 3.4.0 以下版本,则容易遭受攻击。

而根据 W3Techs 的数据,使用 jQuery v1.x 的网站占了 84%,这导致它们存在四个中等级别的 XSS 漏洞隐患,使用 jQuery 扩展库(其中 13 个已识别漏洞)会加剧这种情况。

在 Snyk 报告中,jquery.js 是一个恶意包,过去 12 个月中被下载了 5444 次,它的严重程度与其他两个开源社区模块的恶意版本一样高( jquery-airload 322 次下载和 github-jquery-widget 232 次下载)。

报告还列出另外三个扩展库:jquery-mobile、jquery-file-upload 和 jquery-colorbox,虽然其中包含任意代码执行和跨站点脚本安全漏洞,且没有任何升级途径可修补这些漏洞,但它们还是在过去 12 个月中总共下载了 34 万次以上。

近年来有人认为 jQuery 不再流行,而根据报道目前它仍有高下载量,原因可能如下:

  • 目前它还有大量教程、现有网站及软件等都是使用
  • jQuery 相关的插件非常丰富,很多新出的 js 框架也支持 jQuery
  • 大量的程序员用过 jQuery,熟悉它的语法和功能,后期也会继续使用

参考:i-programmer

  • 相关推荐
  • 大家在看
  • 编程语言最新排名:Java最受欢迎、JS用户最多

    IDE工具开发商JetBrains基于2万名开发者,对编程语言的最新情况进行了统计描摹。就受欢迎程度而言,Java高居第一位,但在使用人数上,JavaScript则名列榜首。欢迎程度的统计方法是,让参与的

  • openEA专访丨浅谈开源的未来:中国开源社区建立是关键

    摘要:今天,openea.net重新上线,这次社区会给我们哪些便利呢?未来的发展方向又是什么呢?听说这次改版增加很多额外价值包!开源君独家采访了社区建设与运营相关负责人,现在带大家一起走进openEA开源社区吧。openEA开源社区(ID:openEA)| 出品小夕 | 编辑Dream | 作者开源君 | 采访openEA运营部 | 受访开源,天生带有“共享精神”的基因,开源生态同时也是被验证过的商业模式。目前国内领先的互联网企业也在开源领域争相布局:

  • 报告:JavaScript为最常用整体编程语言 Python超过Java

    在过去的 12 个月中,Python在使用的编程语言列表中已经超过了Java,它也是被研究最多的语言。报告称,在过去的 12 个月里,30%的受访者开始或继续学习Python,甚至比去年还要多。

  • 享学课堂Java进阶架构班三期6月开营

    疫情过后,网课的热度依旧没有褪去。虽然刚刚过完“金三银四”程序员面试跳槽的旺季,但是还是有很多程序员继续选择学习深造,提高技术水平,为下一个面试跳槽周期“金九银十”做准备。据享学课堂官方提供的数据,在 2020 年第一季度Java类目下新增VIP学员超过 1000 人,Java课堂VIP总人数已经超过 6000 人。为提高教学服务,保证每位学员得到高质量的学习效果,本月开始享学课堂Java进阶架构班三期正式开营。享学课堂Java进阶架构

  • Java已被超越?Python当道,风变编程带你化身编程高手

    在程序员中,一直流传着“Python除了不会生孩子,什么都会”的传说。作为人工智能时代最重要的脚本语言之一,Python现在已经逐步占领统计学、机器学习、爬虫、图形处理、软件和游戏开发、人工智能等多个领域,且都有突出表现。可以说,在众多编程语言中,python如今已经杀出重围,从容超越Java和Javascript,化身程序员必备的编程利器之一。目前,国内外许多公司都已使用Python,如:YouTube、豆瓣、知乎、Google、百度、腾讯、美?

  • OPPO 加入 OpenChain,与谷歌微软共建开源许可标准

    据外媒彭博新闻社 10 日报道,2020 年 5 月 27 日,OPPO 正式成为内地首家OpenChain 白金会员,与谷歌、微软、ARM等行业领军企业一起,参与开源许可标准的制定,共建更加健康的全球开源体系。 OpenChain 作为 Linux 基金会下的项目,旨在制定开源软件供应链标准,帮助各种组织更高效地解决开源许可证一致性地问题。通过 OpenChain 认证后,开源许可流程将更为轻松。目前 ARM、微软、谷歌、高通等各领域巨头纷纷加入 OpenChain,为

  • 猿辅导招聘服务器端研发工程师(JAVA)诚邀技术大拿

    猿辅导是一家在线教育领域的互联网公司,众所周知互联网公司最重要的岗位非程序员莫属,猿辅导也不例外,近日猿辅导招聘服务器端研发工程师(JAVA)正如火如荼的进行着。猿辅导可以为工程师们提供舒适的工作环境以便大家可以大显身手。猿辅导望京办公楼猿辅导的这份工作主要内容是负责猿辅导主app相关产品服务器端的开发,而且作为一名有经验的研发工程师,你还需要指导新人进行开发。猿辅导的办公环境对于这个岗位,猿辅导有相应?

  • 早期红利不等人,开源征信助你把握信用经济财富先机

    古人说:“人无信不立,业无信不兴”。在如今信用经济时代,个人信用就更显重要,无论是就业升职、资格审查、出国签证、评先评优,还是买房买车办贷款,都绕不开征信,因此,建立与健全个人征信体系已经成为经济发展的要求之一。然而,目前我国的征信体系建设并不全面,一个完整的征信产业链应当包含前端的征信业务,中端的信用监测和后端的信用修复,相比于火热的前端市场,我国信用修复业务却发展缓慢,成为整个征信系统建设的薄

  • openEuler开源社区成立Ceph SIG

    「中国,深圳, 2020 年 6 月 16 日」今天,openEuler开源社区(以下简称“openEuler社区”)正式成立Ceph SIG(Special Interest Group 特别兴趣小组),完善openEuler操作系统在分布式存储场景的适配。openEuler社区参与者和用户可获得由专业存储团队维护的稳定的Ceph版本构建分布式存储系统,并通过openEuler社区获得技术支持。 Ceph是一个具备高性能、可靠性和可扩展性的分布式存储解决方案,可以同时提供块、文件和对象三种服务

  • 华为开源数据虚拟化引擎openLooKeng:统一SQL接口

    华为在开源软件上又迈出了坚定一步,正式宣布开源数据虚拟化引擎openLooKeng,开源社区官网(https://openlookeng.io)同步上线。openLooKeng致力于为大数据用户提供极简的数据分析体验,让用户

  • 华为开源数据库能力 开放openGauss数据库源代码

    今日,华为正式宣布开源数据库能力,开放openGauss数据库源代码,并成立openGauss开源社区,社区官网(opengauss.org)同步上线。

  • 谷歌开源项目飞马PEGASUS:可以自动进行文章摘要

    谷歌于去年年底发布了一个精简型的机器语义分析项目:飞马(PEGASUS):预先机器学习及训练后的自动文章摘要项目。近期这个项目迎来的新的版本,这个小型项目可以非常精准的自动提取出文章中的摘要,并且只用一千个训练模型就可以生成媲美人类的摘要内容。 当对包括文本摘要在内的下游NLP任务进行微调时,最近针对大型文本语料库进行自我学习的目标的预训练工作已显示出巨大的成功。但是,尚未探讨为抽象文本摘要量身定制的预训练

  • 和鲸科技发布《数据科学教育白皮书》,开源打造最佳教学路径

    随着大数据应用和数据科学应用逐渐升温,数据科学教育项目也在世界每个国家迅速发展,数据科学项目部署不仅代表着高校水平,更能反映出城市发展与国家竞争力。那么,我们的教育距离真正的数据科学教育到底有多远呢?2020 年 3 月,国内领先的数据科学协同平台和鲸科技联合TalkingData旗下腾云大学、全球知名云计算服务平台AWS、开源学习社群Datawhale多家机构共同发布了《数据科学教育白皮书》,旨聚焦于数据科学教育领域,研究基?

  • 2019 年热门开源项目中的漏洞增加了一倍以上

    ​RiskSense 发布了一份新报告,该报告提供了有关目前热门的开源软件中漏洞的深入发现,其中包括武器化漏洞数、哪种软件最容易受到威胁、攻击的最主要类型等内容。

  • 著名开源项目Apache Doris开发者徐冬奇加入微博广告技术团队

    著名开源项目、在线分析型分布式数据库Apache Doris的主要开发者,原百度凤巢广告系统高级架构师、阿里巴巴数据智能商业化技术负责人徐冬奇,已于近日入职微博广告技术团队,担任微博广告技术总架构师。据百度内部人士爆料,Doris最初是只为解决凤巢广告报表需求而设计的专用系统。2012年徐冬奇在前百度首席架构师James Peng(前Google 核心工程师,现自动驾驶独角兽小马智行CEO)指导下,作为Dor

  • 世界排行第一的编程语言:java迎来25岁生日

    Java起源于 1991 年的“ Oak”项目,由James Gosling领导。面向对象的Java以其“一次编写,随处运行”的可移植性而闻名,因为Java虚拟机支持多种硬件平台和操作系统以及Java applet可以从网页上运行。Java小程序多年来提供号称优于JavaScript的性能,但后者最终受到浏览器制造商的青睐,并于 2018 年将Java从浏览器中删除。

  • V7.0版上线:享学课堂首创对标P7岗Java架构师课程

    2020 年 5 月,随着“金三银四”跳槽季渐渐远去,享学课堂Java架构进阶课程V7. 0 版本正式更新上线,旨在对标P7 岗80W+年薪。享学课堂隶属于湖南享学信息科技有限公司,是一家致力于培养中高端IT技术人才、提供优质在线教育服务的培训机构。通过线上培训教学已源源不断的为各个一线互联网企业输送了优质的技术型人才。迄今为止,享学课堂累计学员已超34 万人次,有近 8000 名VIP学员,遍布北京、上海、杭州、广州、深圳、成都、长?

  • 开源安全报告显示:70%的应用程序存在库引发的缺陷

    软件安全研究机构(SOSS)开源版分析了包含85, 000 个应用程序的Veracode平台数据库的组件开源库,其中包括351, 000 个惟一的外部库。

  • LINKEY:开源会成为我们未来在云计算领域成功的关键

    据最近一篇关于贡献Linux内核代码公司的分析文章得出的结论,像Novell,IBM,Intel,Nokia和德州仪器等公司都在很正式地参与开源软件的开发,LiMo基金会正鼓励其成员参与开源社区项目。这说明,与社区合作而不是孤立,甚至可以避免数百万美元打水漂。加入一个优秀的开源社区会成为企业产品很好的助推器,也是很好的加分经历。在已有的社区项目上工作可以节省时间和金钱,帮助你们比其他方式更快更好地推出产品。原来做产品时,是双

  • 节流加开源,视频网站赚钱的进度条走到哪了?

    “尽管新冠肺炎疫情爆发让环境充满挑战,但第一季度我们仍取得了稳健的表现。”爱奇艺创始人、董事兼首席执行官龚宇博士表示,“强劲的增长得益于我们强大的内容供给以及新冠肺炎疫情期间用户居家隔离时对于数字娱乐内容需求的激增,同时我们的内容成本相比去年也继续适度增长。”

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议

热文

  • 3 天
  • 7天