SVGはメディアアップローダーでデフォルトでブロックされていることがわかりますが、functions.phpでサポートされているMIMEタイプとして追加する必要があります。この背後にあるセキュリティ上の理由は何ですか?
SVGはメディアアップローダーでデフォルトでブロックされていることがわかりますが、functions.phpでサポートされているMIMEタイプとして追加する必要があります。この背後にあるセキュリティ上の理由は何ですか?
回答:
SVGにはJavaScriptを含めることができます。JavaScriptを使用してCookieをハイジャックしたり、その他の疑わしいアクションを実行したりできます。名前空間で「非表示」にすることもできます。
<html xmlns:ø="http://www.w3.org/1999/xhtml">
<ø:script src="//0x.lv/" />
</html>
アップロード中にそれを除外するのは非常に難しいため、デフォルトでは許可されていません。
http://www.w3.org/1999/xhtmlにより、このスクリプトインスタンスは通常のスクリプトと同等になります。
http://www.w3.org/1999/xhtml。そのため、そのURLへの参照を作成し、そのようなタグの名前空間プレフィックスとして使用できます。XHTMLパーサーはそれらを通常のタグとして処理します。
ø:scriptとして扱われるべきではないscriptので、何もしないはずです。名前空間ø:scriptタグが非名前空間scriptタグとして扱われる原因は何ですか?または、SVGは非JS XMLパーサーの埋め込みも許可しますか?