我们有一个允许用户设计图形的网站,我们支持的东西之一是SVG。 我们希望允许用户上传 SVG,但担心滥用的可能性(包括 .SVG 文件)。
有没有办法对.svg文件进行消毒?
允许 svg 上传类似于允许 html 上传,因此您需要类似级别的文件检查。例如,请参阅 html5lib 消毒剂。
如果您将上传的 svg 数据显示为图像,即 <img src="uploadedFile.svg">
html 中,则 UA 不会运行任何脚本。