jQuery 1.6.3 cierra agujero de seguridad XSS

jQuery LogoLos chicos de jQuery ayer liberaron jQuery 1.6.3, la cual es una actualización menor que corrige varios bugs y cierra un agujero de seguridad.

Lo más destacado de esta versión:

  1. Corrige un vector de ataque XSS, el cual muchos sitios están usando para seleccionar elementos usando location.hash permitiendo la inyección de scripts en la página. Ahora cualquier cadena pasada a $() no puede contener etiquetas HTML (obviamente tampoco scripts) si tiene el caracter “#” precediéndola.

  2. Se ha eliminado temporalmente (regresará en alguna futura versión de jQuery) el soporte para el API requestAnimationFrame, ya que todas las animaciones iniciadas en pestañas no visibles sólo eran ejecutadas cuando dichas pestañas obtenían el enfoque, ocasionando que la velocidad de animación fuera exagerada.

  3. Se ha mejorado el manejo de los nombres de atributos de datos en HTML5. El API $().data() no sólo maneja los datos para uso interno de jQuery y sus plugins, ahora también lee los valores iniciales de los atributos de data- en HTML5.

Para descargar jQuery 1.6.3, usen los siguientes enlaces directos:

Ya que los enlaces previos pertenecen al jQuery CDN, pueden usarlos directamente en sus proyectos. Obviamente, el recomendado en la edición minificada:

<script type="text/javascript" src="http://code.jquery.com/jquery-1.6.3.min.js"></script>

Fuente: jQuery Blog.

Share