Por que razões de segurança são svgs bloqueados no uploader de mídia?

13

Vejo que os SVGs são bloqueados por padrão no carregador de mídia e você precisa adicioná-lo como um tipo MIME compatível em functions.php. Quais razões de segurança estão por trás disso?

    
por Claudiu Creanga 15.06.2015 / 17:05

1 resposta

17

O SVG pode conter JavaScript . JavaScript pode ser usado para seqüestrar cookies ou fazer outras ações questionáveis . Pode até ser "escondido" em namespaces:

<html xmlns:ø="http://www.w3.org/1999/xhtml">
   <ø:script src="//0x.lv/" />
</html>

fonte

É muito difícil filtrar isso durante o upload, por isso não é permitido por padrão.

    
por fuxia 15.06.2015 / 17:29