jquery版本安全漏洞問題

起因:

公司一次常規安全掃瞄提出了jquery版本漏洞問題：

1.x系列版本等於或低於1.12的jquery，和2.x系列版本等於或低於2.2的jquery，過濾使用者輸入資料所使用的正規表示式存在缺陷，可能導致location.hash跨站漏洞。（漏洞官方修復介紹：

正確解決方法：公升級版本。

但是，最新版本的jquery廢除了很多api，jquery團隊推出了的乙個外掛程式jquery migrate，自動恢復那些在最新版本之後被廢棄的api，從而讓已有的js**無須改動就能和最新的jquery庫一起正常執行。在引用的jquery檔案後引用migrate檔案即可。

然而由於這個專案歷史久遠，**功能繁雜，接手時排查發現引用了多個版本的jquery。倉促的、大規模的改動之後還是出現了很多問題，只能再回退版本，採取臨時解決方案。

臨時解決方案：隱藏jquery版本資訊，避免被攻擊者識別出版本號。

操作如下：

>jquery檔案重新命名；

>jquery檔案裡頭部帶有版本號的注釋刪除；

>jquery檔案內版本號清除；

>在 jquery.js 檔案中重寫$.fn.jquery 屬性值；

然後專案就走常規上線流程了。

but，林子大了什麼都有，版本外掛程式多了什麼么蛾子都能衝突，還是有少部分功能頁面內呼叫的jquery外掛程式在沒有任何報錯的情況下失效了。

經過一系列排查，發現jquery檔案內，保留版本號的情況下，那些奇怪的問題就消失了。

所以，最終jquery檔案內重寫jquery版本而不是清除版本。