Esiste una vulnerabilità di cross-site scripting (XSS), CVE-2020-11022, nelle versioni di jQuery successive o uguali a 1.2 e precedenti a 3.5.0. Questo difetto consente a un malintenzionato in grado di fornire input alla funzione parseHTML() di iniettare JavaScript nella pagina quando l'input viene visualizzato e di farlo inviare dal browser. In Looker 21.18 e versioni precedenti, la versione di jQuery fornita come variabile globale a una visualizzazione personalizzata in sandbox includeva questa vulnerabilità.
A partire da Looker 21.20, l'istanza jQuery integrata disponibile per le visualizzazioni personalizzate è stata aggiornata e questa vulnerabilità è stata risolta. A seguito della risoluzione di questa vulnerabilità, Looker non riconoscerà più i tag XHTML autochiudenti, come <div />, nelle visualizzazioni personalizzate.
In Looker 21.20, una nuova funzionalità precedente, Consenti tag vuoti in stile XHTML nelle visualizzazioni personalizzate, è inclusa nella pagina Funzionalità precedenti della sezione Amministrazione di Looker. L'attivazione di questa funzionalità precedente disattiva la protezione contro la vulnerabilità CVE-2020-11022, causando il riconoscimento dei tag XHTML autochiudenti nelle visualizzazioni personalizzate, ma esponendo anche la vulnerabilità jQuery. Se attivi questa funzionalità precedente, ti consigliamo vivamente di controllare le visualizzazioni personalizzate per rilevare i tag autochiudenti, correggere eventuali tag autochiudenti e disattivare la funzionalità precedente. Questa funzionalità precedente verrà disattivata in Looker 22.20 e i tag XHTML autochiudenti non saranno consentiti.