Saya melihat bahwa SVG diblokir secara default di pengunggah media dan Anda harus menambahkannya sebagai tipe MIME yang didukung di functions.php. Apa alasan keamanan di balik ini?
Saya melihat bahwa SVG diblokir secara default di pengunggah media dan Anda harus menambahkannya sebagai tipe MIME yang didukung di functions.php. Apa alasan keamanan di balik ini?
Jawaban:
SVG dapat berisi JavaScript . JavaScript dapat digunakan untuk membajak cookie atau melakukan tindakan yang meragukan lainnya . Ia bahkan bisa "disembunyikan" di ruang nama:
<html xmlns:ø="http://www.w3.org/1999/xhtml">
<ø:script src="//0x.lv/" />
</html>
Sangat sulit untuk memfilternya selama pengunggahan, jadi tidak diizinkan secara default.
http://www.w3.org/1999/xhtml
menjadikan instance skrip ini setara dengan skrip biasa.
http://www.w3.org/1999/xhtml
, sehingga Anda dapat membuat referensi ke URL itu dan menggunakannya sebagai awalan namespace untuk tag tersebut dan parser XHTML akan menanganinya sebagai tag normal.
ø:script
tidak boleh ditanganiscript
dan karenanya tidak melakukan apa-apa. Apa yang menyebabkanø:script
tag namespaced diperlakukan sebagaiscript
tag non-namespaced ? Atau apakah SVGs juga memungkinkan menanamkan parser XML non-JS?