Я вижу, что SVG по умолчанию заблокированы в загрузчике мультимедиа, и вы должны добавить его как поддерживаемый тип MIME в functions.php. Какие причины безопасности стоят за этим?
Я вижу, что SVG по умолчанию заблокированы в загрузчике мультимедиа, и вы должны добавить его как поддерживаемый тип MIME в functions.php. Какие причины безопасности стоят за этим?
Ответы:
SVG может содержать JavaScript . JavaScript может быть использован для кражи куки или других сомнительных действий . Его даже можно «спрятать» в пространствах имен:
<html xmlns:ø="http://www.w3.org/1999/xhtml">
<ø:script src="//0x.lv/" />
</html>Это очень сложно отфильтровать во время загрузки, поэтому по умолчанию это не разрешено.
http://www.w3.org/1999/xhtmlделает этот экземпляр сценария эквивалентом обычного сценария.
http://www.w3.org/1999/xhtml, что вы можете создать ссылку на этот URL и использовать ее в качестве префикса пространства имен для таких тегов, и анализаторы XHTML будут обрабатывать их как обычные теги.
ø:scriptзаключается в том, чтобы избежать коллизии имен тегов, то есть не следует обрабатывать ихscriptи, следовательно, ничего не делать. Что заставляетø:scriptтег пространства имен трактоваться какscriptтег без пространства имен ? Или SVG также позволяют встраивать не-JS XML-парсеры?