Widzę, że pliki SVG są domyślnie blokowane w programie do przesyłania multimediów i musisz dodać go jako obsługiwany typ MIME w functions.php. Jakie są przyczyny bezpieczeństwa?
Widzę, że pliki SVG są domyślnie blokowane w programie do przesyłania multimediów i musisz dodać go jako obsługiwany typ MIME w functions.php. Jakie są przyczyny bezpieczeństwa?
Odpowiedzi:
SVG może zawierać JavaScript . JavaScript może być wykorzystywany do przechwytywania plików cookie lub wykonywania innych wątpliwych działań . Można go nawet „ukryć” w przestrzeniach nazw:
<html xmlns:ø="http://www.w3.org/1999/xhtml">
<ø:script src="//0x.lv/" />
</html>Bardzo trudno jest je odfiltrować podczas przesyłania, więc domyślnie nie jest to dozwolone.
http://www.w3.org/1999/xhtmlczyni tę instancję skryptu odpowiednikiem zwykłego skryptu.
http://www.w3.org/1999/xhtmltaka, że możesz utworzyć odwołanie do tego adresu URL i użyć go jako prefiksu przestrzeni nazw dla takich znaczników, a parsery XHTML będą traktować je jak normalne znaczniki.
ø:scriptnie należy traktować ich jako,scripta zatem nie należy nic robić. Co powoduje, żeø:scriptznacznik z przestrzenią nazw jest traktowany jakoscriptznacznik bez przestrzeni nazw ? Czy też pliki SVG umożliwiają także osadzanie parserów XML innych niż JS?