SVG净化之困 -- The woes of sanitizing SVGs 原文链接 | HN讨论 | 2026-04-28 03:13:31 文章摘要 Scratch平台长期面临SVG文件的安全隐患,因其将用户上传的SVG直接插入主文档进行解析,导致跨站脚本等漏洞。尽管平台不断改进净化机制,但作者认为这种基于标记清理的方法本质上不可靠,并举例说明2019年就曾因未过滤