jQuery跨站脚本漏洞影响大量网站

       Snyk发布了2019年度的JavaScript框架安全状况报告（PDF），除了最流行的JS框架Angular和React外，报告还观察了其它三个流行JS前端框架Vue.js、Bootstrap和jQuery的安全漏洞。

       jQuery过去12个月的下载量超过了1.2亿次，是Vue.js的4000万次和Bootstrap的7900万次之和。Vue.js发现了4个漏洞，都已经修复。

       Bootstrap发现了7个跨站脚本漏洞，3个是在2019年披露的，无安全修正。jQuery发现了6个影响所有版本的安全漏洞，4个是中等危险级别的跨站脚本漏洞，1个是中危PrototypePollution漏洞，还有一个是低危拒绝服务漏洞。

       jQuery3.4.0以上版本不受漏洞影响。jQuery生态系统还发现了多个恶意的扩展包，其中包括jquery.js、jquery-airload、github-jquery-widgets、jquery-mobile、jquery-file-upload和jquery-colorbox，这些包过去一年的下载量从几百到几千不等。