Uma vulnerabilidade de script entre sites (XSS), CVE-2020-11022, existe nas versões do jQuery a partir da 1.2 e anteriores à 3.5.0. Essa falha permite que um invasor forneça entrada para a função parseHTML() para injetar JavaScript na página quando essa entrada for renderizada e entregue pelo navegador. No Looker 21.18 e versões anteriores, a versão do jQuery fornecida como uma variável global para uma visualização personalizada em sandbox incluía essa vulnerabilidade.
A partir do Looker 21.20, a instância integrada do jQuery disponível para visualizações personalizadas foi atualizada, e essa vulnerabilidade foi corrigida. Como resultado da correção dessa vulnerabilidade, o Looker não vai mais reconhecer tags XHTML autofechadas, como <div />, em visualizações personalizadas.
Na versão 21.20 do Looker, um novo recurso legado, Permitir tags vazias no estilo XHTML nas visualizações personalizadas, foi incluído na página Recursos legados na seção Administrador do Looker. Ativar esse recurso legado desativa a proteção contra CVE-2020-11022, fazendo com que as tags XHTML de fechamento automático sejam reconhecidas em visualizações personalizadas, mas também expondo a vulnerabilidade do jQuery. Se você ativar esse recurso legado, recomendamos que audite suas visualizações personalizadas em busca de tags autocontidas, corrija-as e desative o recurso legado. Esse recurso legado está programado para ser desativado no Looker 22.20, e as tags XHTML autofechadas não serão permitidas.