2019JavaScript 框架安全報(bào)告發(fā)布

snyk.io 發(fā)布了 2019 年 JavaScript 框架安全報(bào)告，報(bào)告主要是對(duì)兩個(gè)Angular 和 React安全請(qǐng)款，但同時(shí)還審計(jì)了其他三個(gè)前端 JavaScript 框架：Vue.js、Bootstrap 和 jQuery 等。

JQuery 1.2 億次 下載

報(bào)告顯示，在過(guò)去的 12 個(gè)月中，jQuery 的下載次數(shù)超過(guò) 1.2 億次，相當(dāng)于 Vue.js(4000 萬(wàn)次)和 Bootstrap(7900 萬(wàn)次)下載次數(shù)總和。

框架漏洞

在報(bào)告中 jQuery ，迄今為止被跟蹤影響到所有版本的六個(gè)漏洞，其中四個(gè)屬于中等級(jí)別的跨站點(diǎn)腳本漏洞，一個(gè)屬于中等級(jí)別的原型污染漏洞(Prototype Pollution)，另一個(gè)是低級(jí)別的拒絕服務(wù)漏洞。

Snyk 報(bào)告的結(jié)論是，如果你使用 jQuery 3.4.0 以下版本，則容易遭受攻擊。

JQuery 依舊流行

近年來(lái)有人認(rèn)為 jQuery 不再流行，而根據(jù)報(bào)道目前它仍有高下載量，原因可能如下：

• 目前它還有大量教程、現(xiàn)有網(wǎng)站及軟件等都是使用
• jQuery 相關(guān)的插件非常豐富，很多新出的 js 框架也支持 jQuery
• 大量的程序員用過(guò) jQuery，熟悉它的語(yǔ)法和功能，后期也會(huì)繼續(xù)使用