jQuery 3.5.0 disponible avec un important correctif de sécurité

Le plus gros changement de cette version est le colmatage d’une brèche de sécurité pouvant nécessiter une adaptation du code chez les développeurs.

Dans les notes de version, on peut voir que la méthode jQuery.htmlPrefilter utilise un regex pour filtrer certaines informations et s’assurer qu’elles sont compatibles XHTML. Bien que cette opération se déroule bien dans la grande majorité des cas, mais il pouvait arriver que le parsing ait des « conséquences inattendues ».

L’équipe de développement envisageait initialement de publier le correctif au sein d’une version mineure. Il a cependant été décidé de marquer le coup avec une version 3.5.0 plus à même de refléter le changement, car il sera nécessaire dans certains cas de modifier le code des projets, la fonction jQuery.htmlPrefilter n’utilisant plus de regex.

Quelques ajouts sont tout de même de la partie, notamment les méthodes .even() et .odd(). C’est la conséquence de la suppression prévue pour jQuery 4.0 des sélecteurs positionnels, considérés comme trop complexes. Les deux éléments ajoutés étaient les derniers absents.

Outre quelques correctifs généraux, certains éléments deviennent « dépréciés ». jQuery.trim en fait partie, « facilement remplacé » par String.prototype.trim() de JavaScript. Même chose pour les alias d’évènements AJAX, remplacé par .on(« ajaxStart », …). jQuery Migrate avertira de l’utilisation de ces méthodes, même si elles resteront en place jusqu’à la version 4.0.

• Télécharger jQuery 3.5.0