Fatal编程技术网
  • svg/
  • 是用户上传的。svg';什么是XSS风险?“你怎么能这样?”;“消毒”;SVG?

是用户上传的。svg';什么是XSS风险?“你怎么能这样?”;“消毒”;SVG?

svg

是用户上传的。svg';什么是XSS风险?“你怎么能这样?”;“消毒”;SVG?,svg,xss,raphael,Svg,Xss,Raphael,我们有一个允许用户设计图形的网站,我们支持SVG。我们希望允许用户上传SVG,但担心可能被滥用(包括.SVG文件中的代码) 有没有办法对.svg文件进行消毒?如果您将上传的svg数据显示为html格式的图像,即,UAs将不会运行任何脚本。允许svg上传与允许html上传类似,因此您需要类似级别的检查文件。参见示例

我们有一个允许用户设计图形的网站,我们支持SVG。我们希望允许用户上传SVG,但担心可能被滥用(包括.SVG文件中的代码)

有没有办法对.svg文件进行消毒?

如果您将上传的svg数据显示为html格式的图像,即
,UAs将不会运行任何脚本。

允许svg上传与允许html上传类似,因此您需要类似级别的检查文件。参见示例