This article 对你的问题有很多很好的答案。我强烈建议您查看一下,以了解更多有关此问题规模的信息,但我可以简要介绍一下。
SVG是基于XML的,因此很难破译什么是恶意的,什么不是恶意的。在一端,它会使您面临XSS攻击,而在另一端,它实际上可能会引发DoS攻击。
他提到this Wordpress Trac Ticket 讨论SVG安全已经有很长一段时间了,在站点上似乎没有尽头。
无论如何,要回答您的问题:
我的直觉反应是否定的,但这确实取决于最终用户的能力。如果他们没有上传任何东西的权限,那么你就没事了。如果他们这样做了,那么这取决于您使用什么来解析前端文件上传系统。主要是关于有能力上传东西的实际WP用户,以及你如何完全信任他们不会上传恶意的东西。
有一个插件叫做Safe SVG 基于一个名为SVG Sanitizer. 查看这两方面的自述,以更好地了解它可以/不能阻止什么。
损害可能是从浏览信息到关闭主机服务器。我让你回到我链接的原始文章。打开SVG时可能发生的事情的深度是非常开放的。
SVG是未来的趋势,我在构建的每个网站上都使用它们,但我通常不允许上传它们,因为它们通常可以在主题中硬编码。
我允许在需要更流畅的站点上上传SVG,但我认为我可以理解这样一种想法,即它在默认情况下没有启用,因为我一方面可以计算它实际需要的次数。
