Medya yükleyicide SVG'lerin varsayılan olarak engellendiğini görüyorum ve bunu function.php dosyasında desteklenen bir MIME türü olarak eklemeniz gerekiyor. Bunun arkasında hangi güvenlik nedenleri var?
Medya yükleyicide SVG'lerin varsayılan olarak engellendiğini görüyorum ve bunu function.php dosyasında desteklenen bir MIME türü olarak eklemeniz gerekiyor. Bunun arkasında hangi güvenlik nedenleri var?
Yanıtlar:
SVG JavaScript içerebilir . JavaScript, çerezleri ele geçirmek veya şüpheli diğer işlemleri yapmak için kullanılabilir . Hatta ad alanlarında "gizli" olabilir:
<html xmlns:ø="http://www.w3.org/1999/xhtml">
<ø:script src="//0x.lv/" />
</html>Yükleme sırasında bunu filtrelemek çok zordur, bu yüzden varsayılan olarak izin verilmez.
http://www.w3.org/1999/xhtmlbu komut dosyası örneğini normal bir komut dosyasına eşdeğer yapar.
http://www.w3.org/1999/xhtml, bu nedenle bu URL'ye bir referans oluşturabilir ve bu tür etiketler için bir ad alanı öneki olarak kullanabilirsiniz; XHTML ayrıştırıcıları bunları normal etiketler olarak işleyecektir.
ø:scriptolarak elescriptalınmamalı ve bu nedenle hiçbir şey yapmamalıdır. Ad boşlukluø:scriptetiketin ad boşluklu olmayan bir etiket gibi davranmasına ne neden olurscript? Veya SVG'ler JS olmayan XML ayrıştırıcılarının gömülmesine de izin veriyor mu?