- 限制危险标签 , 比如script、foreignObject等 。
- 限制通过SVG图像的外部链接加载资源 。
- 限制SVG图像内的扩展逻辑 。
文章插图
大家可以访问我们的Github仓库下载本文使用的SVG样本 。
0x04 参考资料
[1] W3C, “Scalable Vector Graphics” https://www.w3.org/TR/SVG2/ (02 September, 2019)
[2] OWASP, “The Image that called me” https://www.owasp.org/images/0/03/Mario_Heiderich_OWASP_Sweden_The_image_that_called_me.pdf (02 September, 2019)
[3] Blackhat, “Exploiting Browsers without Image Parsing Bugs” https://www.blackhat.com/docs/us-14/materials/us-14-DeGraaf-SVG-Exploiting-Browsers-Without-Image-Parsing-Bugs.pdf (02 September, 2019)
原文链接:https://www.anquanke.com/post/id/190651
推荐阅读
- 腾讯又双叒叕开源!这次微信在用的图计算框架
- macOS在Finder中快速查看文件夹大小
- 西域36国都是现在的哪里 西域36国并入中国有多少
- 梦见开车走在泥泞的路上全是大贝壳 梦见开车走在泥泞的路上前进不得
- 梦见狗睡在自己身边赶到赶不走 梦见狗睡在自己身边怎么撵也撵不走是怎么回事
- 封号|免费不限速!阿里云盘下载太多会被封号?回应来了
- 成群的乌鸦在天上飞是什么预兆 为什么乌鸦会成群在天上盘旋
- 飞航式导弹与巡航导弹 以巡航状态在大气层内飞行的导弹
- 秋季为什么会皮肤干燥 秋季皮肤干燥的原因
- 梦见自己喜欢了别的男人 梦见喜欢的男人和别人在一起了