커스텀 시각화에서 XHTML 스타일의 빈 태그 허용

교차 사이트 스크립팅(XSS) 취약점인 CVE-2020-11022가 1.2 이상 및 3.5.0 이전의 jQuery 버전에 있습니다. 이 결함으로 인해 parseHTML() 함수에 입력을 제공할 수 있는 공격자가 입력이 렌더링될 때 JavaScript를 페이지에 삽입하고 브라우저에서 전달하도록 할 수 있습니다. Looker 21.18 이하에서는 샌드박스 처리된 맞춤 시각화에 전역 변수로 제공된 jQuery 버전에 이 취약점이 포함되어 있었습니다.

Looker 21.20부터 커스텀 시각화에서 사용할 수 있는 내장 jQuery 인스턴스가 업데이트되었으며 이 취약점이 해결되었습니다. 이 취약점을 해결하기 위해 Looker는 커스텀 시각화에서 <div />와 같은 스스로 닫는 XHTML 태그를 더 이상 인식하지 못합니다.

Looker 21.20의 새로운 기존 기능커스텀 시각화에서 XHTML 스타일의 빈 태그 허용이 Looker의 관리 섹션에 기존 기능 페이지에 포함되어 있습니다. 이 기존 기능을 사용 설정하면 CVE-2020-11022에 대한 보호가 사용 중지되어 스스로 닫는 XHTML 태그가 커스텀 시각화에서 인식되지만 jQuery 취약점이 노출됩니다. 이 기존 기능을 사용 설정하는 경우 커스텀 시각화에서 스스로 닫는 태그를 감사하고, 스스로 닫는 태그를 모두 수정하고, 기존 기능을 사용 중지하는 것이 좋습니다. 이 기존 기능은 Looker 22.20에서 사용 중지될 예정이며 스스로 닫는 XHTML 태그가 허용되지 않습니다.