【漏洞预警】JQuery 存在DOM型XSS漏洞

漏洞描述：

JQuery 是一套跨浏览器的 JavaScript 函式存储库，用于简化 HTML 与 JavaScript 之间的操作。

JQuery 受影响版本中由于为对<option>元素中的代码正确过滤，攻击者可将恶意的 HTML 代码注入到<option>元素中，例如：<option><style></option></select><img src=x onerror=alert(1)></style>，并通过 DOM 方法如 .html()、.append() 等将恶意代码注入到网页中进行XSS攻击。

影响范围：
jquery@[1.5.1, 3.5.0)

修复方案：
将 jquery 升级至 3.5.0 及以上版本

参考：
https://github.com/jquery/jquery/commit/1d61fd9407e6fbe82fe55cb0b938307aa0791f77

https://vulnerabledoma.in/jquery_htmlPrefilter_xss.html

原文始发于微信公众号（飓风网络安全）：【漏洞预警】JQuery 存在DOM型XSS漏洞