nosystem0 Aug 14 at 21:27

Открыл картинку — помог хакерам: опасный тренд с SVG-файлами

Easy

2 min

JavaScript *

Translation

Comments 16

skymal4ik Aug 14 at 21:39

Неужели браузеры не ограничены выполнением только безопасных функций в svg? Зачем там window.location? Удивлюсь, если еще и доступ к кукам и вебртц есть :)

savostin Aug 14 at 22:09

А можно пример, хотя бы схематический? Что-то и правда не верится, что многое можно в SVG. Я когда делал проект динамической кнопки в SVG (надо было циферку менять) помню сильно был ограничен в средствах. Только как <object>, а его в письмо просто так не вставишь.

nosystem0 Aug 15 at 06:04

Добрый день! В документах SVG могут быть таблицы стилей, которые ссылаются на внешние ресурсы и, следовательно, загружают их. На данный момент в SVG не определено никаких ограничений.

savostin Aug 15 at 07:56

Давайте отличать inline svg и svg file.

Вся эта шумиха из-за inline svg, который по сути html/xml. Если вам удалось поместить inline svg, то он вообще не нужен, вы внедрили html, со всеми вытекающими.

В svg file никаких скриптов вставить нельзя, они просто игнорируются.

Короче нужен реальный пример.

andreymal Aug 15 at 09:01

В svg file прекрасно работают любые скрипты, если его открывать как целую страницу, а не встраивать (или встраивать через iframe)

savostin Aug 15 at 09:11

Как и в любую страницу, если ее открывать браузером. В чем новость?

andreymal Aug 15 at 09:50

Я тоже не понял в чём новость. Возможно, в том, что об этом узнали мамкины хакеры)

LinkToOS Aug 15 at 16:59

Как и в любую страницу, если ее открывать браузером. В чем новость?

Видимо в том, что ссылка активируется без участия пользователя. И url содержит какую-то метку. Как это можно использовать это уже другой вопрос.

savostin Aug 15 at 17:41

В данном случае svg выступает как html. И в том и в другом случае если открыть в браузере активируется скрипт без участия пользователя. Как я понимаю просто далеко не все понимают, что svg файлы не картинки. Т.е. html в здравом уме никто не открывает, а svg считается почему-то безопасным форматом.

LinkToOS Aug 16 at 08:16

Т.е. html в здравом уме никто не открывает, а svg считается почему-то безопасным форматом.

html открывают. Этот формат довольно часто используется для оффлайн документов. Но от него известно что ожидать, и политики безопасности настраиваются с учетом возможных угроз. А про указанную особенность SVG мало кто знает.

aik Aug 15 at 03:54

А чем код в svg отличается от кода на обычной страничке?

nosystem0 Aug 15 at 06:11

Добрый день! SVG основан на XML и использует ограниченный ряд элементов. Однако SVG можно редактировать и с помощью JS - что и делает SVG уязвимым.

savostin Aug 15 at 07:58

Каким образом? Html можно редактировать с помощью js. Давайте откажемся. Все в тексте.

jodaka Aug 15 at 08:58

Это не ответ, а какой-то поток сознания. Выглядит, как будто автор совершенно не понимает, о чём пишет.

nosystem0 Aug 15 at 10:34

Автор дал ответ из википедии, подробнее тут

savostin Aug 15 at 18:19

The SVG document is not allowed to fetch any resources. This also applies to scripts, stylesheets or images.
Scripts must not be executed.

И как бедные хакеры в таких нечеловеческих условиях работают?