jQuery存在XSS漏洞，可能导致location.hash跨站漏洞

漏洞报告：

jQuery 存在 XSS 漏洞。1.x系列版本等于或低于1.12的jQuery，和2.x系列版本等于或低于2.2的jQuery，过滤用户输入数据所使用的正则表达式存在缺陷，可能导致LOCATION.HASH跨站漏洞。

漏洞文件：

jquery-1.11.2.min.js

漏洞描述：

jQuery 是一个 JavaScript 库。 

jQuery 在过滤用户输入数据时，所使用的正则表达式存在缺陷，可能导致 location.hash 跨站漏洞。

解决办法：

（1）为应用系统制定允许用户输入字符的白名单，发现输入中存在非白名单中的字符时直接返回固定的错误页面。

（2）升级版本，其实这是最好与最简单的修复方式，但是最新版的jquery不兼容旧版本，很多的api被废除了，所以如果升级到最新版的话，容易不兼容。

（3）删除版本号。这个方法算不得以而为之，就是让扫描器无法识别该js版本号，操作方法就是将jquery文件头部带版本号的注释全删除，并将文件内的版本号全删除。

（4）重写一些js方法，或者把低版本的对应的方法替换成高版本。

注意事项：

在实际整改解决过程中，某些网站在升级javascript版本后，会导致部分网站的特效或者插件失效。

验证方法：

根据jQuery 存在 XSS 漏洞原理，通过检测jQuery的内容进行漏洞验证。