Je vois que les SVG sont bloqués par défaut dans l'uploader de médias et vous devez l'ajouter en tant que type MIME pris en charge dans functions.php. Quelles sont les raisons de sécurité derrière cela?
15
SVG peut contenir du JavaScript . JavaScript peut être utilisé pour détourner les cookies ou effectuer d'autres actions douteuses . Il peut même être "caché" dans les espaces de noms:
<html xmlns:ø="http://www.w3.org/1999/xhtml">
<ø:script src="//0x.lv/" />
</html>
Il est très difficile de filtrer cela pendant le téléchargement, il n'est donc pas autorisé par défaut.
ø:script
ne devrait pas être gérée commescript
et ne devrait donc rien faire. Qu'est-ce qui fait que laø:script
balise avec espace de noms est traitée comme unescript
balise sans espace de noms ? Ou les SVG permettent-ils également d'incorporer des analyseurs XML non JS?http://www.w3.org/1999/xhtml
fait de cette instance de script un équivalent d'un script standard.http://www.w3.org/1999/xhtml
, vous pouvez donc créer une référence à cette URL et l'utiliser comme préfixe d'espace de noms pour ces balises et les analyseurs XHTML les traiteront comme des balises normales.