2015年8月31日

SVG画像とセキュリティ

SVGは静的な画像ファイルではない

SVGはXML技術をベースとしているためXHTMLやJavaScriptなどを内包できる（Illustratorなどのドローイングソフトによる作画の範囲の外の話）

対策

利用シーンを限定する
- 掲示板やコメント欄など、不特定多数の投稿が行われるサイトでのSVG画像の利用を禁止する
- 会員制のサイトでのSVG画像の利用を禁止する
- CMSなどのコンテンツ配信側の管理者のSVG画像の利用を禁止する。加えて、ID/パスワードなどの管理体制から見直す。
- 静的に配置して差し替えができない環境で利用する。

ref. [SVGのセキュリティについて考える]http://defghi1977-onblog.blogspot.jp/2013/02/svg.html

コメントを残すコメントをキャンセル