我打算让网站用户上传自己的SVG文档,并使用inkscape或svg2pdf进行渲染.用户要么未经身份验证,要么经过一个简单的注册过程,所以我希望有一些黑客尝试.因此,我应该感谢关于我可以采取哪些过滤措施来最小化安全威胁的任何指示.
> Inkscape似乎并没有受到JavaScript onl oad tags的困扰,并且愉快地呈现内容而没有发生任何不幸事件(也就是说,我不能让Firefox 10使用这种方法来咳嗽警报框).
>我担心< image xlink:href />标签可以使用外部URI链接到巨大的或格式错误的位图图像 – 理论上可能会使服务崩溃.有没有一种简单的方法来遍历XML文档来过滤这些?我当然可以使用XMLReader轻松完成这项工作,但是想知道我是否可能需要处理诸如o nload for’onload’之类的东西(虽然Firefox只是将它拒绝为无效,所以这可能是一种不必要的担心). Sidenode:图像本身是可以接受的,但我认为我要么要求它们是内联数据:要么是白名单可接受的目标URI,文件大小限制.
>是否有任何SVG指令(特别是渲染文本)可能包含系统文件的文本内容,例如/ etc / passwd等?
>我还可以采取的一种方法是针对SVG规范进行验证.这是我问过here的另一个问题的主题.
我正在使用PHP 5.2与XMLReader和XMLWriter,但其他基于PHP流的系统是可以接受的.系统是开发的OS X 10.6.8和生产中的LAMP.
解决方法:
Are there any SVG directives (in particular that render text) that Could include the text contents of system files, such as /etc/passwd etc?
您需要确保XXE攻击不适用于您的特定实施,see here.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
