jQuery MobileにXSSの脆弱性が見つかったのでアルファ版からベータ版に変更する際の注意点

jQuery Mobileのベータ版が公開されました。夏ぐらいに正式版がリリースされるらしく待ち遠しいですね。

ただ、残念なことにこれまで公開されていたjQuery Mobileのアルファ版にXSSの脆弱性が見つかった為、これまでにjQuery Mobileで作成されたサイトは早急にベータ版にアップデートする必要があります。

アルファ版の挙動を維持したままベータ版にアップデートするには次のように記述する必要があります。

<meta name="viewport" content="width=device-width, initial-scale=1,minimum-scale=1, maximum-scale=1"> 
<link rel="stylesheet" href="http://code.jquery.com/mobile/1.0b1/jquery.mobile-1.0b1.min.css" />
<script src="http://code.jquery.com/jquery-1.6.1.min.js"></script>
<script>
$(document).bind("mobileinit", function() {
      $.mobile.page.prototype.options.addBackBtn = true;
 });
</script>
<script src="http://code.jquery.com/mobile/1.0b1/jquery.mobile-1.0b1.min.js"></script>

ベータ版ではこれまで自動で付加されていたmeta viewportを手動で追加する必要があり、「戻る」ボタンがデフォルトではOFFになるように変更されています。

その為、上記のようにmeta viewportの追加と、jQueryのスクリプトファイルとjQuery Mobileのスクリプトファイルを読み込む間にmobileinitを利用して「戻る」ボタンを表示する設定を行う必要があります。

忘れないうちに対応してしまいましょう。

追記(2011/6/29)

ただ、ベータ版にアップしてもまだ未発見のXSSがある可能性もあります。次のサイトで今回のXSSの脆弱性について解説されていますので、こちらで提示されている対応も合わせて行うことをお勧めします。

jQueryにおけるXSSを引き起こしやすい問題について - 金利0無利息キャッシング - キャッシングできます - subtech
jQueryMobileのXSSに関する調査メモ at HouseTect, JavaScriptな情報をあなたに

関連エントリー

Re:PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い
WEBデザイナーの為のXSS(クロスサイトスクリプティング)入門
新連載「jQuery Mobileデザイン入門 」が開始しました

スポンサードリンク

«[書評]Webデザイナー/コーダーのための HTML5コーディング入門 | メイン | MTDDC Meetup Tokyo 2011 終了しました!»