Hacker News 中文摘要

RSS订阅

SVG净化之困 -- The woes of sanitizing SVGs

文章摘要

Scratch平台长期面临SVG文件的安全隐患,因其将用户上传的SVG直接插入主文档进行解析,导致跨站脚本等漏洞。尽管平台不断改进净化机制,但作者认为这种基于标记清理的方法本质上不可靠,并举例说明2019年就曾因未过滤