jQuery Mobile网站中都存在一个尚未修复的XSS漏洞是怎么回事？

网友解答: 在回答这个问题之前我们还是先来了解一下啥是jQuery Mobile吧：jQuery Mobile项目（jQuery框架中的一个组件）是一个基于HTML5的开发框架，在它的帮

在回答这个问题之前我们还是先来了解一下啥是jQuery Mobile吧：

jQuery Mobile项目（jQuery框架中的一个组件）是一个基于HTML5的开发框架，在它的帮助下，开发者可以设计出能够适配目前主流移动设备和桌面系统的响应式Web站点以及应用程序。实际上，jQuery Mobile不仅可以为主流移动平台提供jQuery的核心库，而且它也是一个较为完整统一的jQuery移动UI框架。根据jQuery开发团队的介绍，目前全球范围内大约有十五万个活动站点是采用jQuery Mobile开发的。

在2017年2月的几个月之前谷歌公司的安全工程师Eduardo Vela正在苦苦寻找内容安全策略（CSP）的绕过方法，但是在研究的过程中他注意到了jQuery Mobile的一种非常有意思的行为。jQuery Mobile会从location.hash属性中获取任意的URL地址，然后再用innerHTML来处理这个URL地址所返回的响应，而在某些特定条件下，攻击者就可以利用它的这种特性来攻击目标网站。

内因：

1、很多组织并不认为“开放重定向”是一种安全漏洞，而需要注意的是，像谷歌（/search）、YouTube（/redirect）、Facebook（/l.php）、百度（/link）以及雅虎（/ads/pixel）这样的热门网站都存在这种安全漏洞。

2、如果修复了该漏洞的话，目前很多正在运行的Web站点和应用程序都将会受到影响，导致该漏洞不会被修复，一直是个信息安全威胁。

外因：

恶意攻击者可以利用这一不会被修复的漏洞进行对信息的窃取来达到自我的目的。

在Vela确认了该漏洞之后，他便立刻将漏洞信息上报给了jQuery Mobile的开发团队，但是当开发团队确认了该漏洞将会给用户带来的安全风险之后，Vela却被告知这个漏洞不会得到修复。致使所有使用jQuery Mobile网站中都会存在一个尚未修复的XSS漏洞（跨站脚本攻击漏洞）。

信息的安全时时刻刻在面临着威胁，这种情况下我们除了通过信息安全有关的组织来维护我们的信息安全，我们自身也要做一些努力比如不访问风险网站随时注意账号安全等来保障自己的信息安全。