ฉันเห็นว่า SVG ถูกบล็อกโดยค่าเริ่มต้นในเครื่องมืออัปโหลดสื่อและคุณต้องเพิ่มมันเป็นประเภท MIME ที่รองรับใน functions.php เหตุผลด้านความปลอดภัยอะไรที่อยู่เบื้องหลังสิ่งนี้?
ฉันเห็นว่า SVG ถูกบล็อกโดยค่าเริ่มต้นในเครื่องมืออัปโหลดสื่อและคุณต้องเพิ่มมันเป็นประเภท MIME ที่รองรับใน functions.php เหตุผลด้านความปลอดภัยอะไรที่อยู่เบื้องหลังสิ่งนี้?
คำตอบ:
SVG สามารถมี JavaScript JavaScript สามารถใช้ในการจี้คุกกี้หรือการกระทำที่น่าสงสัยอื่น ๆ มันอาจเป็น "ซ่อน" ในเนมสเปซ:
<html xmlns:ø="http://www.w3.org/1999/xhtml">
<ø:script src="//0x.lv/" />
</html>มันยากมากที่จะกรองออกในระหว่างการอัปโหลดดังนั้นค่าเริ่มต้นจะไม่ได้รับอนุญาต
http://www.w3.org/1999/xhtmlทำให้อินสแตนซ์สคริปต์นี้เทียบเท่ากับสคริปต์ปกติ
http://www.w3.org/1999/xhtmlดังนั้นคุณสามารถสร้างการอ้างอิงถึง URL นั้นและใช้เป็นคำนำหน้าเนมสเปซสำหรับแท็กดังกล่าวและตัวแยกวิเคราะห์ XHTML จะจัดการพวกเขาเป็นแท็กปกติ
ø:scriptไม่ควรถูกจัดการตามscriptดังนั้นจึงไม่ควรทำอะไรเลย อะไรทำให้ø:scriptแท็กเนมสเปเชต์ถือเป็นscriptแท็กที่ไม่มีเนมสเปซ หรือ SVG ยังอนุญาตให้มีการฝังตัวแยกวิเคราะห์ที่ไม่ใช่ JS ด้วยหรือไม่