Я вижу, что SVG по умолчанию заблокированы в загрузчике мультимедиа, и вы должны добавить его как поддерживаемый тип MIME в functions.php. Какие причины безопасности стоят за этим?
15
SVG может содержать JavaScript . JavaScript может быть использован для кражи куки или других сомнительных действий . Его даже можно «спрятать» в пространствах имен:
<html xmlns:ø="http://www.w3.org/1999/xhtml">
<ø:script src="//0x.lv/" />
</html>
Это очень сложно отфильтровать во время загрузки, поэтому по умолчанию это не разрешено.
ø:script
заключается в том, чтобы избежать коллизии имен тегов, то есть не следует обрабатывать ихscript
и, следовательно, ничего не делать. Что заставляетø:script
тег пространства имен трактоваться какscript
тег без пространства имен ? Или SVG также позволяют встраивать не-JS XML-парсеры?http://www.w3.org/1999/xhtml
делает этот экземпляр сценария эквивалентом обычного сценария.http://www.w3.org/1999/xhtml
, что вы можете создать ссылку на этот URL и использовать ее в качестве префикса пространства имен для таких тегов, и анализаторы XHTML будут обрабатывать их как обычные теги.