0

我不太了解 SVG 标准及其扩展。但是,我已经读过,SVG 图像可以执行一些脚本。

在网站上显示任何(用户上传的)SVG 图像是否安全?

4

1 回答 1

4

只要您将它们加载为<img>. 这包括等效用途,例如 with background-image。但内联或通过等方式加载时不安全。<object>

以这种方式加载 SVG 图像时,浏览器遵循特殊规则。例如,SVG 必须是自包含的(即没有外部资源),不会执行脚本,:visited也不会应用样式规则。

参见:https ://www.w3.org/wiki/SVG_Security

于 2017-11-29T12:31:21.070 回答