Attualmente valutando un'applicazione, ho scoperto che è possibile inviare un riempimento SVG contenente Javascript (l'app è vulnerabile anche a XXE). Mi chiedevo se esistesse un metodo per prevenire tali vulnerabilità e proteggere il modulo di invio SVG? Come essere sicuri che tutti i metodi di offuscamento vengano catturati?
In primo luogo, ho sviluppato un approccio blacklist ma dal punto di vista della sicurezza, si tratta di un approccio molto pessimo. Cosa mi consigli?