Cómo permitir etiquetas vacías de estilo XHTML en visualizaciones personalizadas

Una vulnerabilidad de secuencia de comandos entre sitios (XSS) CVE-2020-11022 existe en versiones de jQuery posteriores o iguales a 1.2 y anteriores a 3.5.0. Esta falla permite que un atacante pueda proporcionar entradas a la función parseHTML() para insertar JavaScript en la página cuando se procese la entrada y que el navegador la entregue. En Looker 21.18 y versiones anteriores, la vulnerabilidad de jQuery que se proporcionó como variable global a una visualización personalizada de zona de pruebas incluía esta vulnerabilidad.

A partir de Looker 21.20, se actualizó la instancia de jQuery integrada que está disponible para las visualizaciones personalizadas y se solucionó esta vulnerabilidad. Como resultado de solucionar esta vulnerabilidad, Looker ya no reconocerá etiquetas XHTML de cierre automático, como <div />.

En Looker 21.20, se incluye una nueva función heredada, Allow X-style Empty Tags in Custom Visualizations, en la página Funciones heredadas en la sección Administrador de Looker. Si habilitas esta función heredada, se inhabilitará la protección contra CVE-2020-11022, por lo que se reconocerán las etiquetas XHTML de cierre automático en las visualizaciones personalizadas, pero también se expondrá la vulnerabilidad de jQuery. Si habilita esta función heredada, le recomendamos que audite las visualizaciones personalizadas para las etiquetas de cierre automático, que corrijan todas las etiquetas de cierre automático y que inhabiliten la función heredada. Esta función heredada está programada para inhabilitarse en Looker 22.20, y no se permitirán las etiquetas XHTML de cierre automático.