‫ راهکار ارتقا نسخه کتابخانه-های استفاده شده

ali

سلام

واسه ارتقا نسخه جی کوئری استفاده شده به نسخه دیگری از طریق CDN هم می-شود؟چطور امکان پذیر است؟

یه راهکار بدین کجا و چطوری کتابخانه مرکزی بسازم و همیشه از اونجا بروز رسانی کنم؟

این هم مسیر اون کتابخانه-ای که میخوام ارتقا بدم، میشه راهنمایی کنین...

ow_static/plugins/base/js/jquery-migrate.min.js

 

سازنده: ali زمان ایجاد: 24 شهریور 1397 زمان اتمام: 10 مهر 1397

پاسخ‌ها:

مرتب‌سازی بر اساس
محمد آقاعباسلو تیم توسعه
محمد آقاعباسلو 24 شهریور 1397

با سلام،

توصیه نمی‌شود کتابخانه‌هایی مانند jQuery را به صورت خودکار به‌روزرسانی کنید، نکته اصلی در تفاوت‌های بعضی از نسخه‌ها است که برای برخی از به روزرسانی‌ها می‌بایست تغییرات زیادی در سامانه ایجاد کنید و یا حتی از فایل‌های کمکی دیگری نیز استفاده کنید و به روزرسانی به صورت خودکار باعث عدم کارکرد صحیح بخش‌های مختلف سامانه و از کار افتادن آن‌ها خواهد شد. بنابراین این گونه فایل‌ها را بهتر است به صورت دستی و با احتیاط به‌روزرسانی نمایید.

ویرایش شده توسط محمد آقاعباسلو (24 شهریور 1397)
ali 24 شهریور 1397

نسخه استفاده شده آسیب پذیری XSS دارد

واسه بروزرسانی دستی هم میشه یه اشاره کنین چطور می-شود انجام داد...

 

ویرایش شده توسط ali (24 شهریور 1397)
محمد آقاعباسلو تیم توسعه
محمد آقاعباسلو 25 شهریور 1397

سپاس از پیگیریتون.

لطفا بفرمایید که آیا مورد خاصی مشاهده کرده‌اید؟ لطفا منبع و دلیل خود را مشخص بفرمایید.

ali 10 مهر 1397

حفره امنیتی  تزریق اسکریپت در نسخه های استفاده شده جی کوئری از قبل ثبت و گزارش شده است. آیا برطرف شده است؟یا خیر؟

مسیر استفاده شده آنها در هسته موتوشاب:

/ow_static/plugins/base/js/jquery.min.js 

/ow_static/plugins/base/js/jquery-migrate-1.2.1.min.js

### ### ###

لینک شرح آسیب پذیری در کتابخانه های جی کوئری مذکور:

https://snyk.io/test/npm/jquery/2.2.4

-----------------------------------------

https://snyk.io/vuln/npm:jquery-migrate:20130419

مدیریت مدیریت
مدیریت 10 مهر 1397

وقت بخیر

در مورد اولی که قرار داده‌اید، همانطور که در لینک شما هم توضیح داده شده، تنها زمانی امکان وقوع دارد که از طریق Ajax یک لینک خارجی بدون بررسی دریافت شود. در نتیجه این آسیب‌پذیری به هیچ‌وجه در موتوشاب امکانپذیر نیست.

در مورد دوم هم اگر لینک مورد نظر را باز کرده و اطلاعات را مطالعه بفرمایید، آسیب‌پذیری تنها به نسخه‌های پیش از 1.2.1 وارد است و راهکار پیشنهادی رفع مشکل هم، ارتقا به نسخه 1.2.1 یا بالاتر گفته شده است:

Affecting jquery-migrate package, versions <1.2.1
Remediation: Upgrade jquery-migrate to version 1.2.1 or higher.

در نتیجه نیازی به نگرانی در این موارد نیست. پیشنهاد می‌کنم قبل از نتیجه‌گیری در مورد وجود آسیب‌پذیری، موارد مورد نظرتان را کمی دقیق‌تر بررسی کنید.

ویرایش شده توسط مدیریت (10 مهر 1397)
این موضوع بسته شده است