Quelle: Pixabay/simplu27
jQuery 3.5 legt Wert auf Sicherheit und Performance
Die neue jQuery-Version 3.5.0 behebt diverse Schwachstellen und bietet neue Methoden für die nicht mehr empfohlenen Positional Selectors an.
15. April 2020
Die nach wie vor beliebte Javascript-Library jQuery liegt in Version 3.5.0 vor. Als Hauptneuerung geben die Entwickler im jQuery-Blog einen Sicherheits-Fix an, der allenfalls eine Anpassung im Code nötig macht, weil jQuery in der Methode jquery.htmlPrefilter bisher eine Regular Expression nutzte, damit alle schliessenden Tags XHTML-konform generiert werden.
Vor kurzem sei klar geworden, dass sich aus dieser Regex eine Cross-Site-Scripting-Schwachstelle ergibt. In der neuen Version 3.5 verzichtet die Methode auf die Regular Expression und beseitigt so das Leck. Dafür geht der String nun unverändert durch jquery.htmlPrefilter. Stattdessen empfiehlt der Beitrag, den HTML-Input via dompurify zu säubern, wobei in Version 3.5 die Option SAFE_FOR_JQUERY weggelassen werden soll. Weitere Fixes betreffen den AJAX Script Transport und die Performance der Selector-Engine Sizzle, Supoort für Massive Arrays in jquery.map und Syntaxfehler in den AMD-Modulen.
Ab jQuery 4.0 sollen zudem die Positional Selectors nicht mehr unterstützt werden. Deshalb führt bereits Version 3.5 die zwei neuen Methoden .even{} und .odd{} ein. Dadurch werden die bisherigen Selektoren :even und :odd ersetzt. Die neue jQuery-Version 3.5.0 steht im CDN von jQuery zum Download oder direkten Verlinken sowie zur Installation über den Paketmanager npm bereit. Die Links für den vollen und den Slim-Build finden sich im erwähnten Blogpost. (ubi)
Vor kurzem sei klar geworden, dass sich aus dieser Regex eine Cross-Site-Scripting-Schwachstelle ergibt. In der neuen Version 3.5 verzichtet die Methode auf die Regular Expression und beseitigt so das Leck. Dafür geht der String nun unverändert durch jquery.htmlPrefilter. Stattdessen empfiehlt der Beitrag, den HTML-Input via dompurify zu säubern, wobei in Version 3.5 die Option SAFE_FOR_JQUERY weggelassen werden soll. Weitere Fixes betreffen den AJAX Script Transport und die Performance der Selector-Engine Sizzle, Supoort für Massive Arrays in jquery.map und Syntaxfehler in den AMD-Modulen.
Ab jQuery 4.0 sollen zudem die Positional Selectors nicht mehr unterstützt werden. Deshalb führt bereits Version 3.5 die zwei neuen Methoden .even{} und .odd{} ein. Dadurch werden die bisherigen Selektoren :even und :odd ersetzt. Die neue jQuery-Version 3.5.0 steht im CDN von jQuery zum Download oder direkten Verlinken sowie zur Installation über den Paketmanager npm bereit. Die Links für den vollen und den Slim-Build finden sich im erwähnten Blogpost. (ubi)
Artikel kommentieren
