Veo que los SVG están bloqueados de manera predeterminada en el cargador de medios y debe agregarlo como un tipo MIME compatible en functions.php. ¿Qué razones de seguridad hay detrás de esto?
Veo que los SVG están bloqueados de manera predeterminada en el cargador de medios y debe agregarlo como un tipo MIME compatible en functions.php. ¿Qué razones de seguridad hay detrás de esto?
Respuestas:
SVG puede contener JavaScript . JavaScript se puede utilizar para secuestrar cookies o realizar otras acciones cuestionables . Incluso puede estar "oculto" en espacios de nombres:
<html xmlns:ø="http://www.w3.org/1999/xhtml">
<ø:script src="//0x.lv/" />
</html>
Es muy difícil filtrar eso durante la carga, por lo que no está permitido por defecto.
http://www.w3.org/1999/xhtml
hace que esta instancia de secuencia de comandos sea equivalente a una secuencia de comandos normal.
http://www.w3.org/1999/xhtml
, por lo que puede crear una referencia a esa URL y usarla como un prefijo de espacio de nombres para tales etiquetas y los analizadores XHTML las manejarán como etiquetas normales.
ø:script
no debería manejarse comoscript
y, por lo tanto, no debería hacer nada. ¿Qué causa que laø:script
etiqueta con espacio de nombres se trate como unascript
etiqueta sin espacio de nombres ? ¿O los SVG también permiten incrustar analizadores XML que no son JS?