出于什么安全原因,在媒体上传器中阻止svg?

时间:2015-06-15 作者:Claudiu Creanga

我看到SVG在媒体上载程序中默认被阻止,您必须将其作为受支持的MIME类型添加到函数中。php。这背后的安全原因是什么?

1 个回复
最合适的回答,由SO网友:fuxia 整理而成

SVG can contain JavaScript. JavaScript可用于hijack cookies or do other questionable actions. 它甚至可以在名称空间中“隐藏”:

<html xmlns:ø="http://www.w3.org/1999/xhtml">
   <ø:script src="//0x.lv/" />
</html>
source

在上传过程中很难过滤掉这些内容,因此默认情况下是不允许的。

结束
标签: media   security   svg   小码农  

相关推荐

Change Media modal image size

当我创建一个页面,并单击TinyMCE编辑器上方的“添加媒体”按钮时,会显示媒体模式。问题:如何编辑模式中显示的图像的大小?当前图像为全尺寸,导致浏览器加载速度非常慢,在某些情况下浏览器崩溃(Mac上Safari除外的大多数浏览器)。。谢谢