Я бачу, що SVG-файли заблоковані за замовчуванням у завантажувачі мультимедіа, і ви повинні додати його як підтримуваний MIME-тип у function.php. Які причини безпеки стоять за цим?
Я бачу, що SVG-файли заблоковані за замовчуванням у завантажувачі мультимедіа, і ви повинні додати його як підтримуваний MIME-тип у function.php. Які причини безпеки стоять за цим?
Відповіді:
SVG може містити JavaScript . JavaScript можна використовувати для викрадення файлів cookie чи інших сумнівних дій . Його можна навіть "заховати" в просторах імен:
<html xmlns:ø="http://www.w3.org/1999/xhtml">
<ø:script src="//0x.lv/" />
</html>Це дуже важко відфільтрувати під час завантаження, тому його за замовчуванням просто не дозволено.
http://www.w3.org/1999/xhtmlробить цей екземпляр сценарію еквівалентом звичайного сценарію.
http://www.w3.org/1999/xhtml, тому ви можете створити посилання на цю URL-адресу і використовувати її як префікс простору імен для таких тегів, і XHTML-аналізатори будуть обробляти їх як звичайні теги.
ø:scriptне слід обробляти, оскільки,scriptтаким чином, нічого не потрібно робити. Що спричиняєø:scriptтег простору імен, який трактується якscriptтег без простору імен ? Або SVG також дозволяють вбудовувати не-JS XML-парсери?