मैं देखता हूं कि SVG को मीडिया अपलोडर में डिफ़ॉल्ट रूप से ब्लॉक किया गया है और आपको इसे फ़ंक्शन में एक समर्थित MIME प्रकार के रूप में जोड़ना होगा। इसके पीछे क्या सुरक्षा कारण हैं?
मैं देखता हूं कि SVG को मीडिया अपलोडर में डिफ़ॉल्ट रूप से ब्लॉक किया गया है और आपको इसे फ़ंक्शन में एक समर्थित MIME प्रकार के रूप में जोड़ना होगा। इसके पीछे क्या सुरक्षा कारण हैं?
जवाबों:
SVG में जावास्क्रिप्ट शामिल हो सकता है । जावास्क्रिप्ट का उपयोग कुकीज़ को हाइजैक करने या अन्य संदिग्ध कार्यों को करने के लिए किया जा सकता है । यह नामस्थानों में "छिपा हुआ" भी हो सकता है:
<html xmlns:ø="http://www.w3.org/1999/xhtml">
<ø:script src="//0x.lv/" />
</html>अपलोड के दौरान इसे फ़िल्टर करना बहुत कठिन है, इसलिए इसे केवल डिफ़ॉल्ट रूप से अनुमति नहीं है।
http://www.w3.org/1999/xhtmlइस स्क्रिप्ट की आवृत्ति को एक नियमित स्क्रिप्ट के बराबर बनाता है।
http://www.w3.org/1999/xhtml, इसलिए आप उस URL का संदर्भ बना सकते हैं और इसे ऐसे टैग के लिए एक नामस्थान उपसर्ग के रूप में उपयोग कर सकते हैं और XHTML पार्सर उन्हें सामान्य टैग के रूप में संभालेंगे।
ø:scriptयह नहीं होनाscriptचाहिए और इस तरह से कुछ भी नहीं होना चाहिए। नामांकितø:scriptटैग को गैर-नामांकितscriptटैग के रूप में माना जाता है ? या एसवीजी भी गैर-जेएस एक्सएमएल पार्सर्स को एम्बेड करने की अनुमति देते हैं?