我们正在考虑允许用户在我们的网络应用中上传SVG。由于我们知道在不可信的SVG中存在大量复杂的漏洞,我们之前一直在犹豫。一位同事发现了Inkscape的--vacuum-defs选项,并且认为它可以使所有不可信的SVGS安全处理。Inkscape的真空防护系统能让SVG真正安全吗?
根据手册页,该选项“从SVG文件的部分中删除所有未使用的项目。如果此选项与--export-plain-svg一起调用,则只有导出的文件会受到影响。单独使用,指定的文件将被修改。“然而,根据我的同事的说法,“删除脚本,删除XML转换,不容忍畸形,删除编码并删除外部导入。”
这是真的吗?如果是这样,我们应该感到安全吗接受不可信的SVGs吗?
安全吗? – rook