Так называемая уязвимость возникает только в том случае, если значение data-target основано на данных, введенных чем-то внешним (прямо или косвенно) И, отображается на странице, где затрагиваются другие пользователи, кроме злоумышленника.
Другими словами, это НЕ проблема, если все ваши атрибуты data-target сделаны из жесткого HTML-текста.Также, как правило, это не проблема, если эта страница видна только злоумышленнику (self-hack ...).
Например, вы также можете сказать, что jQuery .html() - это уязвимость, которая более очевиднаслучай, но все еще уязвим для XSS, если вы новичок в сети или просто не обращали на это внимания.
В общем, старайтесь не вставлять незащищенные пользовательские данные в сторонние приложения: всплывающие окна, всплывающие подсказки и т. д.где DOM напрямую управляется за кулисами.
Лично я не считаю это большой уязвимостью, но лучше, если известный фреймворк, такой как bootstrap , обрабатывает этот случай или явно называет метод какнебезопасно предупреждать разработчиков.
Аудит Chrome рассматривает уязвимость загрузчика 3.3.xa ( через синхронизацию ):
Включает интерфейсные библиотеки JavaScript с известными уязвимостями безопасности