L'élément Marker est supprimé du SVG téléchargé

anthonydillon · Septembre 18, 2020, 8:54

Lors du téléchargement d’un fichier SVG, les éléments marker sont supprimés du fichier SVG résultant. Existe-t-il un moyen d’empêcher cela ?

Exemple :

L’image brute peut être consultée ici :
https://raw.githubusercontent.com/juju-solutions/bundle-kubeflow/1c76d8a0292f0a969f1ce416767ff3d5847508ca/docs/img/dex-unauthenticated.svg

gerhard · Septembre 18, 2020, 11:13

Je suppose que nous pouvons ajouter l’élément <marker> à la liste autorisée. Je ne vois aucun attribut qui affecte la sécurité.

github.com/discourse/discourse

lib/upload_creator.rb

ce686a008


      
          WHITELISTED_SVG_ELEMENTS ||= %w{
            circle clippath defs ellipse feGaussianBlur filter g line linearGradient
            path polygon polyline radialGradient rect stop style svg text textpath
            tref tspan use
          }.each(&:freeze)

anthonydillon · Septembre 18, 2020, 3:54

Merci, j’ai soumis une PR pour ajouter marker à la liste blanche lors du téléchargement d’un SVG.

Stephen · Septembre 18, 2020, 7:33

À titre de référence, WebKit a connu des problèmes de sécurité avec l’élément marker. Le dernier problème était une exécution de code à distance en décembre.

sam · Juillet 6, 2021, 1:08

Merci pour la correction @anthonydillon !

Sujet		Réponses	Vues
Uploading a white SVG logo gets it styles removed and becomes black Bug	5	913	Février 7, 2019
Add the .svg file extension to "image files" Feature	18	1322	Octobre 10, 2025
SVG Upload works, but broken url to image Bug	3	1604	Juin 22, 2016
SVG broken only in Firefox when discourse copies it from external url Support	12	1256	Mai 2, 2019
SVG Upload not working Bug	2	1408	Juin 6, 2016

L'élément Marker est supprimé du SVG téléchargé

Sujets connexes