我们有一个允许用户设计图形的网站,我们支持的其中一个是SVG。我们希望允许用户上传SVG,但担心滥用的可能性(包括.SVG文件中的代码)。
有没有办法消毒.svg文件?
允许svg上传类似于允许html上传,因此您需要类似级别的文件检查。参见例如html5lib sanitizer。
如果您将上传的svg数据显示为图像,即html中的<img src="uploadedFile.svg">,那么UAs将不会运行任何脚本。
<img src="uploadedFile.svg">