Elemento marcador sendo removido do SVG carregado

anthonydillon · Setembro 18, 2020, 8:54am

Ao fazer upload de um SVG, o SVG resultante remove os elementos marker. Há alguma maneira de impedir que isso aconteça?

Exemplo:

A imagem bruta pode ser encontrada aqui:
https://raw.githubusercontent.com/juju-solutions/bundle-kubeflow/1c76d8a0292f0a969f1ce416767ff3d5847508ca/docs/img/dex-unauthenticated.svg

gerhard · Setembro 18, 2020, 11:13am

Acho que podemos adicionar o elemento <marker> à lista de permissões. Não vejo nenhum atributo que afete a segurança.

github.com/discourse/discourse

lib/upload_creator.rb

ce686a008


      
          WHITELISTED_SVG_ELEMENTS ||= %w{
            circle clippath defs ellipse feGaussianBlur filter g line linearGradient
            path polygon polyline radialGradient rect stop style svg text textpath
            tref tspan use
          }.each(&:freeze)

anthonydillon · Setembro 18, 2020, 3:54pm

Obrigado, enviei um PR para adicionar marker à lista de permissões ao fazer upload de um SVG.

Stephen · Setembro 18, 2020, 7:33pm

Como referência, o WebKit já teve problemas de segurança com o elemento marker. O último problema foi uma execução de código remoto em dezembro.

sam · Julho 6, 2021, 1:08am

Obrigado pela correção @anthonydillon!

Tópico		Respostas	Visualizações
Uploading a white SVG logo gets it styles removed and becomes black Bug	5	921	7 de Fevereiro de 2019
Add the .svg file extension to "image files" Feature	18	1378	10 de Outubro de 2025
SVG Upload works, but broken url to image Bug	3	1623	22 de Junho de 2016
SVG broken only in Firefox when discourse copies it from external url Support	12	1273	2 de Maio de 2019
SVG Upload not working Bug	2	1419	6 de Junho de 2016

Elemento marcador sendo removido do SVG carregado

Tópicos relacionados