Comments 12
Неужели браузеры не ограничены выполнением только безопасных функций в svg? Зачем там window.location? Удивлюсь, если еще и доступ к кукам и вебртц есть :)
А можно пример, хотя бы схематический? Что-то и правда не верится, что многое можно в SVG. Я когда делал проект динамической кнопки в SVG (надо было циферку менять) помню сильно был ограничен в средствах. Только как <object>, а его в письмо просто так не вставишь.
Добрый день! В документах SVG могут быть таблицы стилей, которые ссылаются на внешние ресурсы и, следовательно, загружают их. На данный момент в SVG не определено никаких ограничений.
Давайте отличать inline svg и svg file.
Вся эта шумиха из-за inline svg, который по сути html/xml. Если вам удалось поместить inline svg, то он вообще не нужен, вы внедрили html, со всеми вытекающими.
В svg file никаких скриптов вставить нельзя, они просто игнорируются.
Короче нужен реальный пример.
А чем код в svg отличается от кода на обычной страничке?
Добрый день! SVG основан на XML и использует ограниченный ряд элементов. Однако SVG можно редактировать и с помощью JS - что и делает SVG уязвимым.
Каким образом? Html можно редактировать с помощью js. Давайте откажемся. Все в тексте.
Это не ответ, а какой-то поток сознания. Выглядит, как будто автор совершенно не понимает, о чём пишет.
Автор дал ответ из википедии, подробнее тут
Открыл картинку — помог хакерам: опасный тренд с SVG-файлами