Mengizinkan tag kosong gaya XTH dalam visualisasi kustom

Kerentanan pembuatan skrip lintas situs (XSS), CVE-2020-11022, ada di jQuery versi yang lebih baru dari atau sama dengan 1.2 dan lebih lama dari 3.5.0. Kekurangan ini memungkinkan penyerang yang memiliki kemampuan untuk memberikan input ke fungsi parseHTML() untuk memasukkan JavaScript ke dalam halaman saat input tersebut dirender dan mengirimkannya oleh browser. Di Looker 21.18 dan yang lebih lama, versi jQuery yang disediakan sebagai variabel global ke visualisasi kustom dengan sandbox menyertakan kerentanan ini.

Mulai Looker 21.20, instance jQuery bawaan yang tersedia untuk visualisasi kustom telah diupdate, dan kerentanan ini telah diatasi. Sebagai hasil dari penanganan kerentanan ini, Looker tidak akan lagi mengenali tag XHTML yang menutup sendiri, seperti <div /> dalam visualisasi kustom.

Di Looker 21.20, fitur lama baru, Izinkan Tag Kosong Gaya XHTML dalam Visualisasi Kustom, disertakan di halaman Fitur Lama di bagian Admin Looker. Mengaktifkan fitur lama ini akan menonaktifkan perlindungan terhadap CVE-2020-11022, sehingga tag XHTML yang menutup sendiri akan dikenali dalam visualisasi kustom, tetapi juga mengekspos kerentanan jQuery. Jika Anda mengaktifkan fitur lama ini, sebaiknya audit visualisasi kustom Anda untuk tag penutupan otomatis, perbaiki tag penutupan otomatis, dan nonaktifkan fitur lama. Fitur lama ini dijadwalkan untuk dinonaktifkan di Looker 22.20, dan tag XHTML yang menutup sendiri tidak akan diizinkan.