允许在自定义可视化图表中使用 XHTML 风格的空标记
使用集合让一切井井有条
根据您的偏好保存内容并对其进行分类。
jQuery 1.2 及更高版本(低于 3.5.0)存在一个跨站脚本 (XSS) 漏洞 (CVE-2020-11022)。此漏洞允许攻击者向 parseHTML() 函数提供输入,以便在该输入呈现时将 JavaScript 注入页面并由浏览器传送。在 Looker 21.18 及更低版本中,作为全局变量提供给沙盒化自定义可视化图表的 jQuery 版本存在此漏洞。
从 Looker 21.20 开始,可供自定义可视化图表使用的内置 jQuery 实例已更新,此漏洞已得到修复。解决此漏洞后,Looker 将不再识别自闭 XHTML 标记,例如自定义可视化中的 <div />。
在 Looker 21.20 中,Looker 的管理部分中的旧版功能页面中新增了旧版功能“允许在自定义可视化中使用 XHTML 样式的空标记”。启用此旧版功能会停用针对 CVE-2020-11022 的保护,导致自闭 XHTML 标记在自定义可视化中被识别,但也会导致 jQuery 漏洞暴露。如果您启用此旧版功能,我们强烈建议您检查自定义可视化图表是否包含自闭合标记,更正所有自闭合标记,然后停用此旧版功能。此旧版功能计划在 Looker 22.20 中停用,并且不允许使用自闭 XHTML 标记。
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可,并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情,请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2025-10-19。
[[["易于理解","easyToUnderstand","thumb-up"],["解决了我的问题","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["很难理解","hardToUnderstand","thumb-down"],["信息或示例代码不正确","incorrectInformationOrSampleCode","thumb-down"],["没有我需要的信息/示例","missingTheInformationSamplesINeed","thumb-down"],["翻译问题","translationIssue","thumb-down"],["其他","otherDown","thumb-down"]],["最后更新时间 (UTC):2025-10-19。"],[],[]]
