मैं देखता हूं कि SVG को मीडिया अपलोडर में डिफ़ॉल्ट रूप से ब्लॉक किया गया है और आपको इसे फ़ंक्शन में एक समर्थित MIME प्रकार के रूप में जोड़ना होगा। इसके पीछे क्या सुरक्षा कारण हैं?
मैं देखता हूं कि SVG को मीडिया अपलोडर में डिफ़ॉल्ट रूप से ब्लॉक किया गया है और आपको इसे फ़ंक्शन में एक समर्थित MIME प्रकार के रूप में जोड़ना होगा। इसके पीछे क्या सुरक्षा कारण हैं?
जवाबों:
SVG में जावास्क्रिप्ट शामिल हो सकता है । जावास्क्रिप्ट का उपयोग कुकीज़ को हाइजैक करने या अन्य संदिग्ध कार्यों को करने के लिए किया जा सकता है । यह नामस्थानों में "छिपा हुआ" भी हो सकता है:
<html xmlns:ø="http://www.w3.org/1999/xhtml">
<ø:script src="//0x.lv/" />
</html>
अपलोड के दौरान इसे फ़िल्टर करना बहुत कठिन है, इसलिए इसे केवल डिफ़ॉल्ट रूप से अनुमति नहीं है।
http://www.w3.org/1999/xhtml
इस स्क्रिप्ट की आवृत्ति को एक नियमित स्क्रिप्ट के बराबर बनाता है।
http://www.w3.org/1999/xhtml
, इसलिए आप उस URL का संदर्भ बना सकते हैं और इसे ऐसे टैग के लिए एक नामस्थान उपसर्ग के रूप में उपयोग कर सकते हैं और XHTML पार्सर उन्हें सामान्य टैग के रूप में संभालेंगे।
ø:script
यह नहीं होनाscript
चाहिए और इस तरह से कुछ भी नहीं होना चाहिए। नामांकितø:script
टैग को गैर-नामांकितscript
टैग के रूप में माना जाता है ? या एसवीजी भी गैर-जेएस एक्सएमएल पार्सर्स को एम्बेड करने की अनुमति देते हैं?