Kerentanan pembuatan skrip lintas situs (XSS), CVE-2020-11022, ada di versi jQuery yang lebih lama dari atau sama dengan versi 1.2 dan yang lebih lama dari 3.5.0. Cacat ini memungkinkan penyerang dengan kemampuan untuk memberikan input ke fungsi parseHTML() untuk memasukkan JavaScript ke dalam halaman saat input tersebut dirender dan membuatnya dikirim oleh browser. Pada Looker 21.18 dan sebelumnya, versi jQuery yang disediakan sebagai variabel global ke visualisasi kustom dengan sandbox menyertakan kerentanan ini.
Mulai Looker 21.20, instance jQuery bawaan yang tersedia untuk visualisasi kustom telah diperbarui, dan kerentanan ini telah diatasi. Sebagai hasil dari mengatasi kerentanan ini, Looker tidak akan lagi mengenali tag DLP yang menutup sendiri, seperti <div /> dalam visualisasi kustom.
Di Looker 21.20, fitur lama baru, Izinkan Tag Kosong bergaya XXD di Visualisasi Kustom, disertakan dalam halaman Fitur Lama di bagian Admin Looker. Mengaktifkan fitur lama ini akan menonaktifkan perlindungan terhadap CVE-2020-11022, yang menyebabkan tag Xcode yang menutup sendiri dikenali dalam visualisasi kustom, tetapi juga mengekspos kerentanan jQuery. Jika Anda mengaktifkan fitur lama ini, sebaiknya audit visualisasi kustom Anda untuk menemukan tag yang menutup sendiri, memperbaiki tag yang menutup sendiri, dan menonaktifkan fitur lama. Fitur lama ini dijadwalkan untuk dinonaktifkan di Looker 22.20, dan tag DLP yang dapat menutup sendiri tidak akan diizinkan.