Marker-Element wird aus hochgeladenem SVG entfernt

anthonydillon · 18. September 2020 um 08:54

Beim Hochladen einer SVG-Datei werden marker-Elemente aus dem resultierenden SVG entfernt. Gibt es eine Möglichkeit, dies zu verhindern?

Beispiel:

Das Originalbild finden Sie hier:
https://raw.githubusercontent.com/juju-solutions/bundle-kubeflow/1c76d8a0292f0a969f1ce416767ff3d5847508ca/docs/img/dex-unauthenticated.svg

gerhard · 18. September 2020 um 11:13

Ich schätze, wir können das <marker>-Element zur Whitelist hinzufügen. Mir fallen keine Attribute ein, die die Sicherheit beeinträchtigen.

github.com/discourse/discourse

lib/upload_creator.rb

ce686a008


      
          WHITELISTED_SVG_ELEMENTS ||= %w{
            circle clippath defs ellipse feGaussianBlur filter g line linearGradient
            path polygon polyline radialGradient rect stop style svg text textpath
            tref tspan use
          }.each(&:freeze)

anthonydillon · 18. September 2020 um 15:54

Danke, einen PR eingereicht, um marker zur Whitelist beim Hochladen einer SVG hinzuzufügen.

Stephen · 18. September 2020 um 19:33

Zur Information: WebKit hatte Sicherheitsprobleme mit dem Marker-Element. Das letzte Problem war ein RCE im Dezember.

sam · 6. Juli 2021 um 01:08

Danke für die Korrektur @anthonydillon!

Thema		Antworten	Aufrufe
Uploading a white SVG logo gets it styles removed and becomes black Bug	5	921	7. Februar 2019
Add the .svg file extension to "image files" Feature	18	1378	10. Oktober 2025
SVG Upload works, but broken url to image Bug	3	1623	22. Juni 2016
SVG broken only in Firefox when discourse copies it from external url Support	12	1273	2. Mai 2019
SVG Upload not working Bug	2	1419	6. Juni 2016

Marker-Element wird aus hochgeladenem SVG entfernt

Verwandte Themen