为什么Wordpress默认不允许svg图像文件?

时间:2015-06-19 10:44:04

标签: wordpress security svg

为什么我不能默认将SVG图像文件上传到Wordpress(4.2.2)?当你尝试收到消息时:

  

抱歉,出于安全原因,不允许使用此文件类型。

我知道这个问题已经存在了一段时间,我在过去使用过这个解决方案,来自https://css-tricks.com/snippets/wordpress/allow-svg-through-wordpress-media-uploader/

function cc_mime_types($mimes) {
  $mimes['svg'] = 'image/svg+xml';
  return $mimes;
}
add_filter('upload_mimes', 'cc_mime_types');

但允许此行为的安全隐患是什么?为什么默认情况下已禁用此行为?

2 个答案:

答案 0 :(得分:2)

SVG文件相当丰富,它们包含XML甚至JavaScript。因此,处理这些文件比处理更简单的图像格式riskier

答案 1 :(得分:-2)

  

SVG图像类型未在wordpress中显示

function my_media_types($media_types){
    $media_types['svg'] = 'image/svg+xml'; 
    $media_types['psd'] = 'image/vnd.adobe.photoshop'; 
    return $media_types;
}
add_filter('upload_mimes', 'my_media_types', 1, 1);

由defalut wordpress不支持svg,因为当你可以设置.svg图像svg转发到xml文件时它的所有数据都是xml格式的安全原因wordpress不允许defalut svg或被xml文件攻击的网站,因为xml显示所有数据

相关问题
最新问题