我們正在考慮允許用戶在我們的網絡應用中上傳SVG。由於我們知道在不可信的SVG中存在大量複雜的漏洞,我們之前一直在猶豫。一位同事發現了Inkscape的--vacuum-defs選項,並且認爲它可以使所有不可信的SVGS安全處理。Inkscape的真空防護系統能讓SVG真正安全嗎?
根據手冊頁,該選項「從SVG文件的部分中刪除所有未使用的項目。如果此選項與--export-plain-svg一起調用,則只有導出的文件會受到影響。單獨使用,指定的文件將被修改。「然而,根據我的同事的說法,「刪除腳本,刪除XML轉換,不容忍畸形,刪除編碼並刪除外部導入。」
這是真的嗎?如果是這樣,我們應該感到安全嗎接受不可信的SVGs嗎?
安全嗎? – rook