मीडिया अपलोडर में svgs को किन सुरक्षा कारणों से ब्लॉक किया गया है?


15

मैं देखता हूं कि SVG को मीडिया अपलोडर में डिफ़ॉल्ट रूप से ब्लॉक किया गया है और आपको इसे फ़ंक्शन में एक समर्थित MIME प्रकार के रूप में जोड़ना होगा। इसके पीछे क्या सुरक्षा कारण हैं?

जवाबों:


17

SVG में जावास्क्रिप्ट शामिल हो सकता है । जावास्क्रिप्ट का उपयोग कुकीज़ को हाइजैक करने या अन्य संदिग्ध कार्यों को करने के लिए किया जा सकता है । यह नामस्थानों में "छिपा हुआ" भी हो सकता है:

<html xmlns="http://www.w3.org/1999/xhtml">
   <ø:script src="//0x.lv/" />
</html>

स्रोत

अपलोड के दौरान इसे फ़िल्टर करना बहुत कठिन है, इसलिए इसे केवल डिफ़ॉल्ट रूप से अनुमति नहीं है।


मुझे लगा कि नेमस्पेसिंग का मतलब टैग नेम टकराने से बचना था, जिसका अर्थ ø:scriptयह नहीं होना scriptचाहिए और इस तरह से कुछ भी नहीं होना चाहिए। नामांकित ø:scriptटैग को गैर-नामांकित scriptटैग के रूप में माना जाता है ? या एसवीजी भी गैर-जेएस एक्सएमएल पार्सर्स को एम्बेड करने की अनुमति देते हैं?
JAB

@JAB नामस्थान http://www.w3.org/1999/xhtmlइस स्क्रिप्ट की आवृत्ति को एक नियमित स्क्रिप्ट के बराबर बनाता है।
FUXIA

ओह अब मैं समझा। HTML टैग्स के लिए निहित नाम स्थान है http://www.w3.org/1999/xhtml, इसलिए आप उस URL का संदर्भ बना सकते हैं और इसे ऐसे टैग के लिए एक नामस्थान उपसर्ग के रूप में उपयोग कर सकते हैं और XHTML पार्सर उन्हें सामान्य टैग के रूप में संभालेंगे।
JAB
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.