Ich sehe, dass SVGs standardmäßig im Medien-Uploader blockiert sind und du sie als unterstützten MIME-Typ in functions.php hinzufügen musst. Welche Sicherheitsgründe stecken dahinter?
Ich sehe, dass SVGs standardmäßig im Medien-Uploader blockiert sind und du sie als unterstützten MIME-Typ in functions.php hinzufügen musst. Welche Sicherheitsgründe stecken dahinter?
Antworten:
SVG kann JavaScript enthalten . JavaScript kann verwendet werden, um Cookies zu entführen oder andere fragwürdige Aktionen auszuführen . Es kann sogar in Namespaces "versteckt" werden:
<html xmlns:ø="http://www.w3.org/1999/xhtml">
<ø:script src="//0x.lv/" />
</html>
Es ist sehr schwierig, dies während des Uploads herauszufiltern, daher ist dies standardmäßig nicht zulässig.
http://www.w3.org/1999/xhtml
macht diese Skriptinstanz zu einem Äquivalent eines regulären Skripts.
http://www.w3.org/1999/xhtml
: Sie können einen Verweis auf diese URL erstellen und ihn als Namespace-Präfix für solche Tags verwenden. XHTML-Parser behandeln sie als normale Tags.
ø:script
dass sie nicht als solche behandelt werden solltenscript
und daher nichts tun sollten. Wodurch wird dasø:script
Tag mit Namespace als Tag ohne Namespace behandeltscript
? Oder erlauben SVGs auch das Einbetten von Nicht-JS-XML-Parsern?