XE도 그렇고 그누도 그렇고 SVG 태그들도 전부 막아버렸군요...

SVG 태그들은 풀어놔도 보안문제같은건 없을 것 같긴 한데요..

제가 쓰는 angularjs 에서도 santitizer 통과하면 svg 태그는 허용안하나보군요...

svg 태그를 통과시키면 뭔가 문제가 있는걸까요? 왜 막아버릴까...

써보니까 엄청 좋은데 말이죠..

그냥 html 태그들하고 별 차이 없지 않나 싶기도 하고....

  • profile

    SVG는 HTML이 아니기 때문에 막힙니다. 글 본문은 HTML을 넣으라고 있는 것이기 때문에, HTML 표준에 없는 태그나 속성은 허용되지 않습니다. 오히려 SVG처럼 HTML과 유사한 문법을 사용하는데 HTML이 아닌 언어는 더욱 철저하게 막아야 합니다. HTML 표준에 없는 일부 속성에 자바스크립트를 넣어서 공격하는 수법도 있거든요. HTML이 아닌 것을 content에 넣으려고 하지 마세요 ㅎㅎ

    SVG를 꼭 사용하시고 싶으면 SVG 파일을 업로드한 후 <img> 태그로 불러오거나, data:base64 인코딩하여 본문에 삽입하거나, 스킨을 수정할 권한이 있는 관리자라면 적당한 곳에 스크립트를 넣어서 캔버스와 연동하면 됩니다.

  • profile ?
    보안에 취약할 수 있다는 글을 어디선가 본적이 있어서 궁금했던 내용이였네요. 로고나 배너 이미지로 안심하고 사용해도 되겠군요. 감사합니다.