アップロードされたSVGからマーカー要素がストリップされています

anthonydillon · 2020 年 9 月 18 日午前 8:54

SVG をアップロードすると、結果として得られる SVG から marker 要素が削除されてしまいます。これを防ぐ方法はありませんか？

例:

元の画像はこちらから確認できます:
https://raw.githubusercontent.com/juju-solutions/bundle-kubeflow/1c76d8a0292f0a969f1ce416767ff3d5847508ca/docs/img/dex-unauthenticated.svg

gerhard · 2020 年 9 月 18 日午前 11:13

おそらく、<marker> 要素を許可リストに追加できるでしょう。セキュリティに影響を与える属性は見当たりません。

github.com/discourse/discourse

lib/upload_creator.rb

ce686a008


      
          WHITELISTED_SVG_ELEMENTS ||= %w{
            circle clippath defs ellipse feGaussianBlur filter g line linearGradient
            path polygon polyline radialGradient rect stop style svg text textpath
            tref tspan use
          }.each(&:freeze)

anthonydillon · 2020 年 9 月 18 日午後 3:54

ありがとうございます。SVG をアップロードする際に marker を許可リストに追加するよう、PR を提出しました。

Stephen · 2020 年 9 月 18 日午後 7:33

参考までに、WebKit は marker 要素に関連するセキュリティ上の問題を抱えていました。直近の事例は 12 月に発生した RCE です。

sam · 2021 年 7 月 6 日午前 1:08

修正ありがとうございます @anthonydillon ！

トピック		返信	表示
Uploading a white SVG logo gets it styles removed and becomes black Bug	5	913	2019 年 2 月 7 日
Add the .svg file extension to "image files" Feature	18	1322	2025 年 10 月 10 日
SVG Upload works, but broken url to image Bug	3	1604	2016 年 6 月 22 日
SVG broken only in Firefox when discourse copies it from external url Support	12	1256	2019 年 5 月 2 日
SVG Upload not working Bug	2	1408	2016 年 6 月 6 日

アップロードされたSVGからマーカー要素がストリップされています

関連トピック