Saya melihat bahwa SVG diblokir secara default di pengunggah media dan Anda harus menambahkannya sebagai tipe MIME yang didukung di functions.php. Apa alasan keamanan di balik ini?
Saya melihat bahwa SVG diblokir secara default di pengunggah media dan Anda harus menambahkannya sebagai tipe MIME yang didukung di functions.php. Apa alasan keamanan di balik ini?
Jawaban:
SVG dapat berisi JavaScript . JavaScript dapat digunakan untuk membajak cookie atau melakukan tindakan yang meragukan lainnya . Ia bahkan bisa "disembunyikan" di ruang nama:
<html xmlns:ø="http://www.w3.org/1999/xhtml">
<ø:script src="//0x.lv/" />
</html>Sangat sulit untuk memfilternya selama pengunggahan, jadi tidak diizinkan secara default.
http://www.w3.org/1999/xhtmlmenjadikan instance skrip ini setara dengan skrip biasa.
http://www.w3.org/1999/xhtml, sehingga Anda dapat membuat referensi ke URL itu dan menggunakannya sebagai awalan namespace untuk tag tersebut dan parser XHTML akan menanganinya sebagai tag normal.
ø:scripttidak boleh ditanganiscriptdan karenanya tidak melakukan apa-apa. Apa yang menyebabkanø:scripttag namespaced diperlakukan sebagaiscripttag non-namespaced ? Atau apakah SVGs juga memungkinkan menanamkan parser XML non-JS?