JavaScript: jQuery 3.5 legt Fokus auf Sicherheit
Die JavaScript-Library bringt zudem weitere Deprecations, die mit jQuery 4.0 entfernt werden sollen.
(Bild: wk1003mike/Shutterstock.com)
Knapp ein Jahr nach der Veröffentlichung von Version 3.4 präsentiert das Entwicklerteam ein weiteres Minor-Release der JavaScript-Bibliothek jQuery. Das 3.5-Release schließt eine potenzielle Sicherheitslücke. Neben einigen wenigen neuen Features wurde die Liste der als "deprecated" (veraltet) markierten Elemente ergänzt. Eigentlich sollte schon jQuery 3.4 das letzte Release der 3.x-Serie sein.
Das Hauptaugenmerk der aktuellen Version liegt auf der Sicherheit. Entwickler müssen für die Anpassungen gegebenenfalls Änderungen am eigenen Code vornehmen, da jQuery einen regulären Ausdruck (Regex) in der jQuery.htmlPrefilter-Methode verwendet. Damit wird sichergestellt, dass alle schließenden Tags zum Zeitpunkt der Übergabe an die Methoden XHTML-konform waren.
Mithilfe des Vorfilters soll eine Umwandlung des Aufrufs jQuery("<div class='hot'/>") in jQuery("<div class='hot'></div>") sichergestellt werden. Damit reagieren die Entwickler auf die Meldung einer möglichen XSS-Schwachstelle.
Features und Bugfixes
Mit jQuery 4.0 sollen sogenannte Positional Selectors entfernt werden. Deshalb hält die aktuelle Version zwei neue Ersatzmethoden bereit: .even() und .odd(). Die Methoden sorgen dafür, dass komplizierte Selektoren in jQuery 4.0 sicher entfernt werden können. Neu ist außerdem die Möglichkeit, einen Kontext zu jQuery.globalEval hinzuzufügen.
Neben den genannten Änderungen haben die Entwickler einen Fehler im AJAX-Skript-Transport behoben. Die JavaScript-Library hatte bisher jede Antwort auf eine Skriptanforderung als Skript ausgewertet. Mit jQuery 3.5 werden zukünftig nur noch erfolgreiche HTTP-Antworten ausgewertet.
Das Minor-Update stellt zudem Anpassungen der Performance für die Sizzle Selector Engine, Unterstützung für massiv Arrays in jqery.map, die Verwendungen der nativen .flat-Methode sowie eine Korrektur der Syntaxfehler in den AMD-Modulen zur Verfügung. Weitere Änderungen können dem Changelog entnommen werden.
Ein Blick hinter jQuery
Es handelt sich um eine Bibliothek für die Programmiersprache JavaScript. Für Entwickler soll das Durchlaufen und Manipulieren eines HTML-Dokuments, Event Handling, Animation und AJAX mithilfe einer API, die von vielen Browsern unterstützt wird, vereinfacht werden.
Weitere Details lassen sich dem jQuery-Blog entnehmen. Das aktuelle Release ist über das Content Delivery Network von jQuery verfügbar und lässt sich alternativ mit dem Paketmanager npm über npm install jquery@3.5.0 beziehen.
(mdo)
