「画像ファイル」に「.svg」ファイル拡張子を追加

Ondrashek06 · 2021 年 12 月 16 日午後 5:32

私が利用しているDiscourseフォーラムの1つでは、デフォルト設定で「画像ファイル」のみが許可されています。しかし、.svgファイルは「許可されていません」と表示されます。.svgファイルは画像ファイルですが、ラスター画像ではなくベクター画像であるため、品質を損なうことなくスケーリングできます。また、.pngファイルを.svgファイルに変換した際、サイズも同等かそれ以下でした。

.pngファイルのサイズは8190バイトでした。
.svgファイルのサイズは4273バイトでした。

では、.svgファイルが画像ファイルとして扱われない理由は何でしょうか？

JammyDodger · 2021 年 12 月 16 日午後 5:57

管理者が許可されるファイルの種類を設定します。SVGはデフォルトでは含まれていませんが、authorized_extensions設定から追加できます。管理者に尋ねてみて、検討してもらえるかもしれません。

Ondrashek06 · 2021 年 12 月 17 日午前 7:47

問題は、管理者がダイレクトメッセージを無視することです。引用すると次のようになります。

そして、彼らはフォーラムのスレッドの99.9%を無視しています。

JammyDodger · 2021 年 12 月 17 日午前 8:20

そのようなリクエストができる#site-feedbackカテゴリはありますか？それとも、フォーラムの/aboutページにあるメールアドレスから連絡できますか？

mattdm · 2021 年 12 月 17 日午後 11:24

これは、ファイルがサニタイズされない限り、潜在的なセキュリティリスクではありませんか？

JammyDodger · 2021 年 12 月 18 日午前 8:10

その完全な答えは分かりませんが、アップロードの一部としてディスコースが何らかのチェックを行っていると思います。

github.com/discourse/discourse

lib/upload_creator.rb

ce686a008


      
          WHITELISTED_SVG_ELEMENTS ||= %w{
            circle clippath defs ellipse feGaussianBlur filter g line linearGradient
            path polygon polyline radialGradient rect stop style svg text textpath
            tref tspan use
          }.each(&:freeze)

pfaffman · 2021 年 12 月 18 日午前 9:55

それはここで解決できる問題ではありません。フォーラムの運営方法が気に入らないのであれば、それを使わないか、自分で始めるかのどちらかです。

rokejulianlockhart · 2025 年 10 月 8 日午後 1:16

@pfaffman、それは次のようなものだと思います。 sensible defaults（合理的なデフォルト設定）は、労力の重複を減らすことを意味します。他の人が行ったように、すべての管理者にSVGアップロードを有効にするように依頼することもできます。

…または、Metaにデフォルトとして設定するように依頼することもできます。その点については、@Ondrashek06に同意します。

pfaffman · 2025 年 10 月 8 日午後 1:36

4年後、私も完全に同意します！

rokejulianlockhart · 2025 年 10 月 8 日午後 2:30

@pfaffman、ありがとうございます！

pfaffman · 2025 年 10 月 8 日午後 2:31

理解できない理由で、デフォルトで含めるのが悪い考えである可能性がわずかにあります。

rokejulianlockhart · 2025 年 10 月 8 日午後 2:52

@pfaffman、サニタイズ処理だと推測します。非常に強力なフォーマットだからです。しかし、インラインHTMLがサポートされており、他のフォーラムではSVGがサポートされていることを考えると、特にここで許可されているように見えることを考えると、乗り越えられないものではありません。

デモンストレーションとして、以下はSVGです。

mcdanlj · 2025 年 10 月 8 日午後 3:43

それで…

SVGはサニタイズ（無害化）されます。

コードを読んだ当時、サニタイズはかなり堅牢だと判断し、自分のサイトで有効にすることに自信を持っていました。

CDCKが皆のためにその判断をする責任を負いたくないというのは理解できます。特に、サニタイズされたSVGはSVGのすべてのニーズを満たすわけではないためです。たとえば、私のサイトでは、レーザーカッター用のSVGが投稿されることがあり、そのサニタイズで適用された変更が、その目的のためにサイレントに破損してしまうことがあります。

そのため、設定を行っていた際にはわずかな手間でしたが、デフォルトで有効にすることにためらいがあることは理解できます。

rokejulianlockhart · 2025 年 10 月 8 日午後 5:39

@mcdanlj、Blenderは、おそらくプラグインを介して、ファイルアップロードを許可します。これはデフォルトでは適用できませんが、SVGが主にインラインレンダリング以外の用途であるため、フォーラムに役立つ可能性があります。

mcdanlj · 2025 年 10 月 8 日午後 7:09

私の場合は、時々両方の動作が必要になります。そのため、バイト単位で完全に一致することが重要なZIPファイルをアップロードしてもらうことになります。10回中9回は、サニタイズされたとしても、ダウンロードせずにオンラインで表示できる方がはるかに便利です。

（はい、私たちは欲張りになりたいのです！）

rokejulianlockhart · 2025 年 10 月 8 日午後 7:27

@mcdanlj、サニタイズされていないインラインSVGをレンダリングすることが理論的に可能かどうかさえ、私は確信が持てません。

mcdanlj · 2025 年 10 月 9 日午前 1:48

インラインSVGをサニタイズしないことによるCSS攻撃についてではありません。

アップロード時に、サニタイズして表示用SVGにするか、レンダリングせずにアップロードのままにするかを選択できるようにしたいということです。しかし、実際には、サニタイズされたインライン表示が最も理想的ですが、ダウンロードをクリックすると元のサニタイズされていないバージョンを取得できるのが完璧です。

これは真剣な機能提案ではありません。単に、1つの特殊なユースケースにとって完璧なものになるだろうということです。

rokejulianlockhart · 2025 年 10 月 9 日午前 10:21

@mcdanlj、なぜなら、Blenderのファイルアップロード機能はプラグインによって提供されると信じているからです。もしあなたもそうであれば、プラグインのリポジトリのissue trackerにFRとして投稿する価値があるでしょう。もし、それがコアに含まれているのであれば、本当に便利だと思いますが、別の投稿で追跡する方が良いかもしれません。

kelv · 2025 年 10 月 10 日午前 8:27

@pfaffmanさん、ありがとうございます。この件をチームに共有したところ、デフォルトとして適切であるとの意見で一致しました。PRを承認し、マージしました

トピック		返信	表示
SVG uploads displayed too small UX	13	1170	2021 年 3 月 1 日
Category Icon Image Issue Bug	6	842	2021 年 4 月 13 日
SVG uploads get no lightbox Bug	0	485	2021 年 1 月 25 日
PNG's a no show Support	31	4254	2023 年 9 月 4 日
Allowing SVG Category images Feature	3	618	2019 年 4 月 15 日

「画像ファイル」に「.svg」ファイル拡張子を追加

関連トピック