我们计划允许用户上传SVG文件和图标。但问题在于SVG文件可以包含JavaScript代码,因此非常容易受到注入攻击的威胁。
当使用 SVG 文件时,将执行此代码。
我发现了这个很棒的管理 SVG 文件的库。这有助于删除类似 onEVENT='someJs()' 这样的属性,但这仍然无法让我晚上睡觉。
那么,有什么聪明的方法可以完全清除 SVG 文件中的 JS 代码呢?
<svg
xmlns="http://www.w3.org/2000/svg"
width="780" height="550"
onload="(function(){ alert('doing something nasty') })()">
当使用 SVG 文件时,将执行此代码。
我发现了这个很棒的管理 SVG 文件的库。这有助于删除类似 onEVENT='someJs()' 这样的属性,但这仍然无法让我晚上睡觉。
那么,有什么聪明的方法可以完全清除 SVG 文件中的 JS 代码呢?