Per quali motivi di sicurezza vengono bloccati gli svgs nell'uploader multimediale?

15

Vedo che gli SVG sono bloccati di default nel file uploader multimediale e devi aggiungerlo come tipo MIME supportato in Functions.php. Quali ragioni di sicurezza sono alla base di questo?

media  security  svg 
Claudiu Creanga
fonte

Risposte:

17

SVG può contenere JavaScript . JavaScript può essere utilizzato per dirottare i cookie o fare altre azioni discutibili . Può anche essere "nascosto" negli spazi dei nomi:

<html xmlns="http://www.w3.org/1999/xhtml">
   <ø:script src="//0x.lv/" />
</html>

fonte

È molto difficile filtrarlo durante il caricamento, quindi non è consentito per impostazione predefinita.

fuxia
fonte
Ho pensato che lo scopo del namespace fosse evitare la collisione del nome del tag, il significato ø:scriptnon dovrebbe essere gestito come scripte quindi non dovrebbe fare nulla. Cosa fa sì che il ø:scripttag con spaziatura dei nomi venga trattato come un scripttag senza spaziatura ? O gli SVG consentono anche di incorporare parser XML non JS?
JAB
@JAB lo spazio dei nomi http://www.w3.org/1999/xhtmlrende questa istanza di script equivalente a uno script normale.
fuxia
Oh, ora capisco. Lo spazio dei nomi implicito per i tag HTML è http://www.w3.org/1999/xhtml, quindi è possibile creare un riferimento a tale URL e utilizzarlo come prefisso dello spazio dei nomi per tali tag e i parser XHTML li gestiranno come normali tag.
JAB
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.