Preguntas con etiqueta 'svg'

2
respuestas

¿Por qué este vector XSS funciona en svg pero no en HTML?

¿Por qué este vector: <svg><script>alert&#40/1/.source&#41</script> funciona en enlace y este <script>alert&#40/1/.source&#41</script> no lo hace. ¿Cómo hace <svg> para que f...
hecha 30.05.2013 - 21:47
1
respuesta

archivos SVG y billones de risas atacan

Los archivos SVG son susceptibles de billones de risas . Nuestro sitio web permite a los usuarios cargar / enviar archivos de rebajas y ejecutamos el archivo .md a través de marked.js antes de representarlo. Ahora las imágenes en el markdown se...
hecha 11.06.2017 - 20:34
2
respuestas

Restrict JS en SVGs

¿Alguien sabe de alguna manera de evitar que JS se ejecute dentro de un SVG o que elimine JS de un SVG? En mi caso de uso, prefiero mantener la imagen como SVG y no convertirla a JPG. He pensado en eliminar las etiquetas de script y los atributo...
hecha 12.01.2018 - 09:16
1
respuesta

Previniendo XSS en SVG

Actualmente, al evaluar una aplicación, descubrí que es posible enviar un relleno SVG que contenga Javascript (la aplicación también es vulnerable a XXE). Me pregunté si había un método para prevenir esas vulnerabilidades y asegurar el formulari...
hecha 16.01.2017 - 11:40
2
respuestas

render SVG de forma segura

¿Cómo puedo representar documentos SVG de forma segura en una aplicación para compartir medios? Creo que la política del mismo origen podría ayudar un poco si almaceno los documentos SVG en un dominio separado y los muestro dentro de un eleme...
hecha 08.09.2013 - 21:45
1
respuesta

¿Se puede realizar un ataque XXE (entidad externa XML) desde un archivo SVG?

Dado que SVG está construido en gran medida, si no completamente en XML, ¿puede uno de los ataques que se pueden llevar a cabo a través de XML, como la inyección XXE, desde un archivo SVG?     
hecha 03.03.2016 - 02:39
1
respuesta

¿Podría ser peligrosa una pregunta de SE que ejecuta un SVG desde un sitio web privado?

Esta pregunta de SE (ahora eliminada, por lo que no se ve fácilmente) contiene un SVG animado que se carga desde un privado. sitio web en lugar de los GIF habituales alojados por imgur. La línea es: ![https://www.moonwards.com/img/animations...
hecha 05.09.2017 - 22:34
1
respuesta

¿Por qué / cómo está el navegador insertando SVG en línea al final del cuerpo?

Chrome está insertando las siguientes imágenes SVG en la parte inferior de las páginas: <span style="width: 24px; height: 24px; background: url(&quot;data:image/svg+xml;base64,PD94bWwgdmVyc2lvbj0iMS4wIiA/Pjxzdmcgd2lkdGg9IjI0cHgiIGhlaWdo...
hecha 10.09.2018 - 18:32
1
respuesta

¿Es seguro permitir formatos de imagen arbitrarios en los comentarios?

Sé que no es seguro permitir imágenes arbitrarias en comentarios sin proxy. Acabo de ver esta característica . Parece que todos los agentes de usuario actuales que lo implementan deshabilitan las secuencias de comandos y la carga de recursos...
hecha 08.09.2015 - 21:45
3
respuestas

XSS en el contexto de un CDN

Digamos que hay un sitio web example.com . Aloja contenido estático de un CDN, example.net . Este sitio permite cargar una imagen, que luego será servida desde el CDN. Estas imágenes pueden ser SVG y no se filtran de ninguna maner...
hecha 05.05.2014 - 21:20