任何使用 jQuery Mobile 并开放重定向的网站都易受到 XSS 攻击

任何使用 jQuery Mobile 并且具有开放重定向功能的网站都易受到 跨站点脚本（ XSS ）攻击，消息显示 jQuery Mobile 开发团队暂不决定修复该漏洞。

Query 基金会的 jQuery Mobile 项目是一个基于 HTML5 的框架，用于创建移动 web 应用程序，适用于所有流行的智能手机和平板电脑。该项目已被超过 15 万个活跃网站使用。

Google 安全工程师 Eduardo Vela 发现 jQuery Mobile 将获取 location.hash 文件中的任何 URL 并将其放在 innerHTML 中，这种行为将被攻击者在特定条件下利用发动 XSS 攻击。漏洞利用详情可查看国内漏洞情报平台 Seebug 。

据专家介绍，由于许多组织都不将开放式重定向作为安全漏洞，所以许多网站都容易受到这种攻击，如谷歌，YouTube，Facebook，百度和雅虎。坏消息是，jQuery Mobile 开发团队暂不会修复该漏洞，修复该漏洞将对现有应用程序造成潜在影响。

from hackernews.cc.thanks for it.