jQuery のバージョンが 1.2 以降で 3.5.0 より前であれば、クロスサイト スクリプティング(XSS)の脆弱性 CVE-2020-11022 が存在します。この脆弱性により、攻撃者が parseHTML()
関数に入力を提供して、その入力がレンダリングされるときにページに JavaScript を注入し、ブラウザにその JavaScript を配信させることができます。Looker 21.18 以前の場合、サンドボックス化されたカスタム ビジュアライゼーションのグローバル変数として提供された jQuery のバージョンには、この脆弱性が含まれていました。
Looker 21.20 以降、カスタム ビジュアリゼーションで使用可能な組み込み jQuery インスタンスが更新され、この脆弱性が修正されました。この脆弱性に対処した結果、Looker はカスタム ビジュアリゼーション内の <div />
などの自己終了 XHTML タグを認識しなくなります。
Looker 21.20 では、[カスタム ビジュアリゼーションで XHTML スタイルの空のタグを許可する] という新しいレガシー機能が、Looker の [管理] セクションの [レガシー機能] ページに含まれています。このレガシー機能を有効にすると、CVE-2020-11022 に対する保護が無効になり、カスタム ビジュアリゼーションで自己終了 XHTML タグが認識されるだけでなく、jQuery の脆弱性が公開されます。このレガシー機能を有効にした場合は、カスタム ビジュアリゼーションの自己終了タグについて監査を行い、自己終了タグを修正して、レガシー機能を無効にすることを強くおすすめします。このレガシー機能は Looker 22.20 で無効になる予定であり、自己終了 XHTML タグは許可されなくなります。