客户已进行安全审核,并返回有漏洞的 JavaScript 库(针对 jQuery 和 Underscore)
我不明白; JS 库随站点一起提供,但没有到服务器的链接;服务器是 apache,不是节点或基于 JS 的服务器之一。
基本上,如果您将 jQuery 分成两半,并运行一些奇怪的代码,它无法以不同的方式到达服务器,就像您从 Chrome 控制台运行该代码一样。到那时,没有什么是安全的。
因此,如果加载 JS 库仅用于呈现网站上的显示和功能,而不是用于任何服务器工作;那么这不是问题吗?
我需要 ELI5 来解决这个问题。
一般情况:不,不安全。
网站上 JS 库中的漏洞可能会导致 XSS 漏洞,允许攻击者在向真实用户的浏览器发送恶意链接后发出同源 Ajax 请求。
实际威胁取决于具体的漏洞。