Ich sehe, dass SVGs standardmäßig im Medien-Uploader blockiert sind und du sie als unterstützten MIME-Typ in functions.php hinzufügen musst. Welche Sicherheitsgründe stecken dahinter?
Ich sehe, dass SVGs standardmäßig im Medien-Uploader blockiert sind und du sie als unterstützten MIME-Typ in functions.php hinzufügen musst. Welche Sicherheitsgründe stecken dahinter?
Antworten:
SVG kann JavaScript enthalten . JavaScript kann verwendet werden, um Cookies zu entführen oder andere fragwürdige Aktionen auszuführen . Es kann sogar in Namespaces "versteckt" werden:
<html xmlns:ø="http://www.w3.org/1999/xhtml">
<ø:script src="//0x.lv/" />
</html>Es ist sehr schwierig, dies während des Uploads herauszufiltern, daher ist dies standardmäßig nicht zulässig.
http://www.w3.org/1999/xhtmlmacht diese Skriptinstanz zu einem Äquivalent eines regulären Skripts.
http://www.w3.org/1999/xhtml: Sie können einen Verweis auf diese URL erstellen und ihn als Namespace-Präfix für solche Tags verwenden. XHTML-Parser behandeln sie als normale Tags.
ø:scriptdass sie nicht als solche behandelt werden solltenscriptund daher nichts tun sollten. Wodurch wird dasø:scriptTag mit Namespace als Tag ohne Namespace behandeltscript? Oder erlauben SVGs auch das Einbetten von Nicht-JS-XML-Parsern?