Rendering sicuro SVG

Naviga le tue risposte
4

Come posso rendere in modo sicuro i documenti SVG in un'applicazione di condivisione dei media?

Penso che la politica della stessa origine potrebbe aiutare un po 'se pubblico i documenti SVG su un dominio separato e li rendo all'interno di un elemento <iframe> , ma non sono sicuro che la politica della stessa origine catturerà qualcosa di simile a <script>window.top.location = 'http://malic.io.us/pwnd'</script> in SVG.

Non sono stato in grado di trovare nulla tramite la ricerca web. Hai qualche buona pratica canonica o questo è un angolo sottosviluppato delle specifiche web?

    
posta joar 08.09.2013 - 21:45
fonte

2 risposte

5

Dovresti usare img -tag invece di iframe o object . In tal caso, vengono applicate le seguenti restrizioni di sicurezza (indipendenti dall'origine del file) a SVG:

  • JavaScript è disabilitato.
  • Le risorse esterne (ad esempio immagini, fogli di stile) non possono essere caricate, anche se possono essere utilizzate se inline tramite URL di oggetti BlobBuilder o dati: URI.
  • : gli stili dei collegamenti visitati non vengono visualizzati.
  • Lo stile dei widget nativi della piattaforma (basato sul tema del sistema operativo) è disabilitato.

Questa informazione è documentata qui .

    
risposta data 09.09.2013 - 01:10
fonte
0

Nessuna soluzione finale, ma informazioni preziose:

Paul Stone ha tenuto un discorso Precision Timing - Attacca la privacy del browser con SVG e CSS OWASP AppSec Research 2013 : registrazione di alta qualità found qui , registrazione di qualità media trovato qui .

Inoltre, discorso di Fredrik Braun Origine Anche l'applicazione nei browser moderni potrebbe essere di interesse: registrazione di alta qualità trovato qui , registrazione di qualità media trovato qui .

    
risposta data 09.09.2013 - 00:04
fonte

Leggi altre domande sui tag

Risorse per determinare se Metasploit ha exploit per un dato CVE HTTP Digest + MD5 è ancora un'alternativa per consumare la mia API personale?