Veo que los SVG están bloqueados de manera predeterminada en el cargador de medios y debe agregarlo como un tipo MIME compatible en functions.php. ¿Qué razones de seguridad hay detrás de esto?
15
SVG puede contener JavaScript . JavaScript se puede utilizar para secuestrar cookies o realizar otras acciones cuestionables . Incluso puede estar "oculto" en espacios de nombres:
<html xmlns:ø="http://www.w3.org/1999/xhtml">
<ø:script src="//0x.lv/" />
</html>Es muy difícil filtrar eso durante la carga, por lo que no está permitido por defecto.
ø:scriptno debería manejarse comoscripty, por lo tanto, no debería hacer nada. ¿Qué causa que laø:scriptetiqueta con espacio de nombres se trate como unascriptetiqueta sin espacio de nombres ? ¿O los SVG también permiten incrustar analizadores XML que no son JS?http://www.w3.org/1999/xhtmlhace que esta instancia de secuencia de comandos sea equivalente a una secuencia de comandos normal.http://www.w3.org/1999/xhtml, por lo que puede crear una referencia a esa URL y usarla como un prefijo de espacio de nombres para tales etiquetas y los analizadores XHTML las manejarán como etiquetas normales.