Leere Tags im XHTML-Format in benutzerdefinierten Visualisierungen zulassen
Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
In jQuery-Versionen ab 1.2 und älter als 3.5.0 gibt es eine XSS-Sicherheitslücke (Cross-Site Scripting), CVE-2020-11022. Dieser Fehler ermöglicht es einem Angreifer, der Eingaben in die parseHTML()-Funktion einspeisen kann, JavaScript in die Seite einzuschleusen, wenn diese Eingabe gerendert wird, und es vom Browser ausliefern zu lassen. In Looker 21.18 und niedriger enthielt die Version von jQuery, die als globale Variable für eine sandboxierte benutzerdefinierte Visualisierung bereitgestellt wurde, diese Sicherheitslücke.
Ab Looker 21.20 wurde die integrierte jQuery-Instanz, die für benutzerdefinierte Visualisierungen verfügbar ist, aktualisiert und diese Sicherheitslücke geschlossen. Da diese Schwachstelle behoben wurde, erkennt Looker keine selbstschließenden XHTML-Tags wie <div /> in benutzerdefinierten Visualisierungen mehr.
In Looker 21.20 ist die neue Alte FunktionLeere Tags im XHTML-Format in benutzerdefinierten Visualisierungen zulassen auf der Seite Alte Funktionen im Bereich Verwaltung verfügbar. Wenn Sie diese alte Funktion aktivieren, wird der Schutz vor CVE-2020-11022 deaktiviert. Dadurch werden selbstschließende XHTML-Tags in benutzerdefinierten Visualisierungen erkannt, aber auch die jQuery-Sicherheitslücke wird offengelegt. Wenn Sie diese alte Funktion aktivieren, sollten Sie Ihre benutzerdefinierten Visualisierungen auf selbstschließende Tags prüfen, diese korrigieren und die alte Funktion deaktivieren. Diese Legacy-Funktion wird in Looker 22.20 deaktiviert und selbstschließende XHTML-Tags sind dann nicht mehr zulässig.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-07-31 (UTC)."],[],[],null,["# Allowing XHTML-style empty tags in custom visualizations\n\nA cross-site scripting (XSS) vulnerability, [CVE-2020-11022](https://nvd.nist.gov/vuln/detail/cve-2020-11022), exists in jQuery versions later than or equal to 1.2 and earlier than 3.5.0. This flaw allows an attacker with the ability to supply input to the `parseHTML()` function to inject JavaScript into the page when that input is rendered and to have it delivered by the browser. In Looker 21.18 and earlier, the version of jQuery that was provided as a global variable to a sandboxed [custom visualization](/looker/docs/admin-panel-platform-visualizations) included this vulnerability.\n\n\nStarting in Looker 21.20, the built-in jQuery instance that is available to custom visualizations has been updated, and this vulnerability has been addressed. As a result of addressing this vulnerability, Looker will no longer recognize self-closing XHTML tags, such as `\u003cdiv /\u003e` in custom visualizations.\n\n\nIn Looker 21.20, a new [legacy feature](/looker/docs/legacy-feature-schedule), **Allow XHTML-style Empty Tags in Custom Visualizations** , is included in the **Legacy Features** page in Looker's **Admin** section. Enabling this legacy feature disables protection against CVE-2020-11022, causing self-closing XHTML tags to be recognized in custom visualizations, but also exposing the jQuery vulnerability. If you enable this legacy feature, we strongly recommend that you audit your custom visualizations for self-closing tags, correct any self-closing tags, and disable the legacy feature. This legacy feature is scheduled to be disabled in Looker 22.20, and self-closing XHTML tags will not be allowed."]]
