标签: svg xss raphael
我们有一个允许用户设计图形的网站,我们支持的一件事就是SVG。我们希望允许用户上传SVG,但担心滥用的可能性(包括.SVG文件中的代码)。
有没有办法消毒.svg文件?
答案 0 :(得分:3)
允许svg上传类似于允许html上传,因此您需要类似级别的文件检查。参见例如html5lib sanitizer。
答案 1 :(得分:2)
如果您将上传的svg数据显示为图像,即html中的<img src="uploadedFile.svg">,那么UA将不会运行任何脚本。
<img src="uploadedFile.svg">