SVG 可以包含恶意内容吗?
Can SVG have malicious content?
我不太了解 SVG 标准及其扩展的详细信息。但是,我读过,SVG 图像可以执行一些脚本。
在网站上显示任何(用户上传的)SVG 图片是否安全?
只要将它们加载为 <img> 就应该是安全的。这包括等效用途,例如 background-image。但是 不安全 内联或通过 <object> 等加载时
以这种方式加载 SVG 图像时,浏览器遵循特殊规则。例如,SVG 必须是自包含的(即没有外部资源),脚本不会被执行,:visited 样式规则不会被应用。
我不太了解 SVG 标准及其扩展的详细信息。但是,我读过,SVG 图像可以执行一些脚本。
在网站上显示任何(用户上传的)SVG 图片是否安全?
只要将它们加载为 <img> 就应该是安全的。这包括等效用途,例如 background-image。但是 不安全 内联或通过 <object> 等加载时
以这种方式加载 SVG 图像时,浏览器遵循特殊规则。例如,SVG 必须是自包含的(即没有外部资源),脚本不会被执行,:visited 样式规则不会被应用。