Permitir etiquetas vazias no estilo XHTML em visualizações personalizadas
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Existe uma vulnerabilidade de cross-site scripting (XSS), CVE-2020-11022, nas versões do jQuery posteriores ou iguais a 1.2 e anteriores a 3.5.0. Esta falha permite que um atacante com a capacidade de fornecer entrada à função parseHTML() injete JavaScript na página quando essa entrada é renderizada e que seja fornecida pelo navegador. No Looker 21.18 e anterior, a versão do jQuery fornecida como uma variável global a uma visualização personalizada em sandbox incluía esta vulnerabilidade.
A partir do Looker 21.20, a instância jQuery integrada disponível para visualizações personalizadas foi atualizada e esta vulnerabilidade foi resolvida. Como resultado da resolução desta vulnerabilidade, o Looker vai deixar de reconhecer etiquetas XHTML de fecho automático, como <div />, em visualizações personalizadas.
No Looker 21.20, foi incluída uma nova funcionalidade antiga, Permitir etiquetas vazias no estilo XHTML em visualizações personalizadas, na página Funcionalidades antigas na secção Administração do Looker. A ativação desta funcionalidade antiga desativa a proteção contra CVE-2020-11022, o que faz com que as etiquetas XHTML de fecho automático sejam reconhecidas em visualizações personalizadas, mas também expõe a vulnerabilidade do jQuery. Se ativar esta funcionalidade antiga, recomendamos vivamente que audite as suas visualizações personalizadas para etiquetas de fecho automático, corrija as etiquetas de fecho automático e desative a funcionalidade antiga. Esta funcionalidade antiga vai ser desativada no Looker 22.20 e as etiquetas XHTML de fecho automático não vão ser permitidas.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-20 UTC."],[],[],null,["# Allowing XHTML-style empty tags in custom visualizations\n\nA cross-site scripting (XSS) vulnerability, [CVE-2020-11022](https://nvd.nist.gov/vuln/detail/cve-2020-11022), exists in jQuery versions later than or equal to 1.2 and earlier than 3.5.0. This flaw allows an attacker with the ability to supply input to the `parseHTML()` function to inject JavaScript into the page when that input is rendered and to have it delivered by the browser. In Looker 21.18 and earlier, the version of jQuery that was provided as a global variable to a sandboxed [custom visualization](/looker/docs/admin-panel-platform-visualizations) included this vulnerability.\n\n\nStarting in Looker 21.20, the built-in jQuery instance that is available to custom visualizations has been updated, and this vulnerability has been addressed. As a result of addressing this vulnerability, Looker will no longer recognize self-closing XHTML tags, such as `\u003cdiv /\u003e` in custom visualizations.\n\n\nIn Looker 21.20, a new [legacy feature](/looker/docs/legacy-feature-schedule), **Allow XHTML-style Empty Tags in Custom Visualizations** , is included in the **Legacy Features** page in Looker's **Admin** section. Enabling this legacy feature disables protection against CVE-2020-11022, causing self-closing XHTML tags to be recognized in custom visualizations, but also exposing the jQuery vulnerability. If you enable this legacy feature, we strongly recommend that you audit your custom visualizations for self-closing tags, correct any self-closing tags, and disable the legacy feature. This legacy feature is scheduled to be disabled in Looker 22.20, and self-closing XHTML tags will not be allowed."]]
