SVG는 미디어 업 로더에서 기본적으로 차단되어 있으며 functions.php에서 지원되는 MIME 유형으로 추가해야합니다. 이 뒤에 어떤 보안 이유가 있습니까?
SVG는 미디어 업 로더에서 기본적으로 차단되어 있으며 functions.php에서 지원되는 MIME 유형으로 추가해야합니다. 이 뒤에 어떤 보안 이유가 있습니까?
답변:
SVG는 JavaScript를 포함 할 수 있습니다 . JavaScript는 쿠키 를 가로 채거나 다른 의심스러운 행동을 하는 데 사용될 수 있습니다 . 네임 스페이스에서 "숨겨 질"수도 있습니다.
<html xmlns:ø="http://www.w3.org/1999/xhtml">
<ø:script src="//0x.lv/" />
</html>업로드하는 동안 필터링하기가 매우 어렵 기 때문에 기본적으로 허용되지 않습니다.
http://www.w3.org/1999/xhtml는이 스크립트 인스턴스를 일반 스크립트와 동일하게 만듭니다.
http://www.w3.org/1999/xhtml. 따라서 해당 URL에 대한 참조를 생성하여 해당 태그의 네임 스페이스 접두사로 사용할 수 있으며 XHTML 파서는이를 일반 태그로 처리합니다.
ø:script는 처리되지 않아야script하므로 아무 것도하지 않아야합니다. 네임 스페이스ø:script태그가 네임 스페이스 가 아닌 태그로 취급되는 이유는 무엇입니까script? 또는 SVG에서 비 JS XML 파서를 포함 할 수 있습니까?