Tengo curiosidad sobre las preocupaciones de seguridad, si las hay, que tienen otros desarrolladores con respecto al uso de los complementos de JQuery. He visto muy pocas conversaciones sobre seguridad en lo que concierne a JQuery. ¿Realmente no es un problema?¿Tiene algún problema de seguridad cuando se trata de plugins de JQuery?
¡Aprecie sus pensamientos!
Personalmente, me siento lo suficientemente cómodo con Javascript para poder hojear el código del complemento y comprender posibles comportamientos incorrectos.
Lo que busco es el problema de seguridad más relevante con javascript, la comunicación entre dominios, que normalmente se realiza con la creación de iframe s, script/img las etiquetas etc ..
La mayoría de las veces, sin embargo, Confío en la comunidad, por ejemplo, si está en http://plugins.jquery.com/, generalmente es una fuente confiable.
Los más populares se utilizan en toda la web en los principales sitios web. Si hay una preocupación de seguridad, alguien más probablemente ya lo haya notado. Además, muchos de los complementos jQuery más utilizados provienen de los mismos desarrolladores que son muy activos en la comunidad, por lo que es bastante seguro confiar en ellos. (Jörn Zaefferer, el tipo que hizo el complemento de validación, viene a la mente)
De acuerdo, es una buena idea probar siempre y ser siempre escéptico, pero en algún momento se vuelve poco rentable preocuparse demasiado.
jQuery no puede hacer nada que javascript no pueda hacer, por lo que se aplican los mismos estándares de seguridad. Básicamente, nunca confíe en él por seguridad. Valide siempre todas las entradas en el lado del servidor.
La mejor manera de pensarlo es que desde una perspectiva de seguridad, el javascript del lado del cliente no es realmente una parte de su aplicación. Su aplicación consiste en todas las posibles llamadas http a su servidor. Para mayor seguridad, suponga que los hackers ni siquiera utilizarán un navegador: realizarán solicitudes http directamente a su servidor. Asegúrese de no exponer ninguna vulnerabilidad en sus puntos finales http, y debería estar bien.
nota: asumí en esta respuesta que está hablando de datos y seguridad del sistema. La seguridad del usuario (evitando que sus usuarios sean infectados, etc.) es otra olla de peces, pero no estoy seguro de que tenga que ver con jQuery más que javascript en general.
Creo que la preocupación era que se plantara código malicioso en un plugin jQuery. Eso es algo que podría suceder con cualquier biblioteca de Javascript, pero no es algo que podría suceder si vas en comando. –