https://upload.wikimedia.org/wikipedia/commons/4/4f/2022_Russian_invasion_of_Ukraine.svg
https://goodegg.win/politics/2541
위의 이미지를 img태그로 붙여넣기했더니 에디터가 인식을 못하고 저장과정에서 태그를 삭제하더군요.
(근데 이것도 약간 아쉬운게 svg는 브라우저에서 잘 처리하는 확장자인 것 같던데요...
혹시 IE11때문에 빼둔건가 싶기는 한데 이제 IE11도 지원종료되었는데
그냥 기본 처리 이미지 포맷에 포함시켜도 되지 않나요?
그리고 SVG 제대로 디스플레이 못하는 몇몇 브라우저가 있다고 해서
구지 코어 레벨에서 확장자 자체를 막을 이유는 없을 것 같은데요... 단순히 디스플레이에 관련된 부분이니...
깨지는 브라우저 쓰는 사람은 알아서 납득하겠죠 뭐...)
그래서 이번엔 이미지 자동첨부 애드온을 통해서 넣으려고 했는데 png로 자동으로 변환하더군요.
근데 파일 이름이 자동 변환되면서 바뀌어서 그런지 첨부 파일로 포함되기는 되었는데
본문의 태그는 그냥 사라졌습니다.
첨에는 그냥 아예 안되는줄 알았는데 나중에 알고보니까 변환된 파일이 첨부파일에는 남아있더라구요.
아예 안되면 그냥 안되나보다 할텐데 이렇게 되다가 말면 이건 일종의 버그 같아서 리포트합니다.
아 그리고 또 한가지 아쉬운 점이라면... png로 변환했는데 해상도가 가로 800px밖에 안되더라구요.
구지 이런 저해상도로 변환할 필요가 있나해서 좀 아쉬웠습니다. 글자가 뭉개져서 하나도 안보이는...
SVG는 HTML과 마찬가지로 XSS, CSRF 등 심각한 공격에 활용할 수 있는 스크립트 문법을 포함하고 있습니다. 링크하신 SVG 파일만 봐도 원본소스에 onclick 이벤트가 붙어 있었는데 위키백과에서 적당히 필터링한 듯한 흔적이 남아 있어요.
일반 회원이 임의의 파일을 업로드할 수 있는 공간에서 SVG를 지원하려면 아주 철저하게 검증된 필터링 라이브러리가 필요합니다. 라이브러리가 있긴 한데 얼마나 안전한지는 모르겠네요. 개발자 입장에서는 책임질 수 없는 보안취약점의 리스크를 감수하느니 그냥 구버전 브라우저를 핑계로 지원 안 하는 편이 발뻗고 잘 수 있을 겁니다.
자동 첨부 애드온에서 SVG를 PNG로 변환해 주는 기능은 없는데 왜 800px짜리 PNG로 변환되었는지는 미스테리네요.