Vulnérabilité jQuery (NVD CVE-2007-2379)

Nous utilisons jQuery et nous avons rencontré la vulnérabilité jQuery suivante dans la firebase database nationale sur les vulnérabilités:

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-2379

Est-ce que cela a été corrigé dans les versions plus récentes de jQuery? La date de publication d’origine de cette vulnérabilité est le 30/04/2007.

J’essaie de faire en sorte que le petit jQuery que nous utilisons n’expose pas cette vulnérabilité. Quelqu’un en a-t-il des exemples?

Regardez jQuery.getJSON () :

Si l’URL spécifiée se trouve sur un serveur distant, la demande est traitée à la place comme JSONP.

Lisez à propos de JSONP ici .

Tant que vous utilisez JSONP, cette vulnérabilité n’existe pas.

En outre, cette «vulnérabilité» est stupide. Tout le monde peut échanger des données en utilisant JSON, ce n’est pas seulement jQuery qui l’utilise.

Le problème ne se pose-t-il pas uniquement lorsque vous utilisez JSONP? Tout est en sécurité tant que toutes les sources sont dignes de confiance.

En tant que quelque chose d’inhérent à JS, il n’y a aucun moyen de le réparer. La spécification XMLHttpRequest / CORS sur le partage des ressources d’origine croisée, prise en charge par de nombreux navigateurs modernes (mais nécessite que le serveur fournisseur soit configuré pour envoyer l’en-tête CORS), pourrait être utilisée à la place de JSONP et de la bibliothèque JSON2 de Douglas Crockford qui repose également sur le support JSON du navigateur natif, le cas échéant).