एसवीजी (बाहरी छवि के रूप में एम्बेडेड) से बाहरी स्टाइलशीट को जोड़ने पर "सुरक्षा प्रतिबंध"

Question

इस answer के अनुसार "सुरक्षा कारणों से छवियां स्टैंडअलोन फाइलें होनी चाहिए"। यही है, जब img टैग का उपयोग करते हुए एक एसवीजी फ़ाइल समेत यह किसी बाहरी स्टाइलशीट का संदर्भ नहीं दे सकता है।

मुझे लगता है कि एसवीजी को सीएसएस का उपयोग करके पृष्ठभूमि छवियों के रूप में शामिल करने का प्रयास करते समय मैंने एक ही समस्या में भाग लिया है। एसवीजी अन्य एसवीजी फाइलों से लिंक करते हैं और उन्हें सीधे फ़ायरफ़ॉक्स में देखते समय ठीक प्रदर्शित करते हैं, लेकिन सीएसएस पृष्ठभूमि छवि के रूप में शामिल होने पर लिंक की गई सामग्री को दिखाने में विफल रहते हैं।

इन 'सुरक्षा कारणों' क्या हैं और मैं उनके बारे में अधिक जानकारी कहां से प्राप्त कर सकता हूं?

Answer 1

एक परिकल्पनात्मक मंच पर विचार करें जो एसवीजी छवियों को अवतार के रूप में अनुमति देता है। बाह्य संसाधनों एक चालबाज/दुर्भावनापूर्ण उपयोगकर्ता कि <image xlink:href="http://evilhacker.com/myimage.png"> और शामिल एक एसवीजी फ़ाइल अपलोड कर सकते हैं की अनुमति दी गई तो (यह मानते हुए वे नियंत्रित evilhacker.com), वे किसी भी & कर सकता है निम्न में से सभी:

• पर एक पिंग प्राप्त अपने स्वयं के डोमेन जब भी किसी को भी उनके प्रोफ़ाइल (& लॉग व्यक्ति इसे देख का IP पता)
• संभावित आधारित उनके आईपी पते, अनुरोध-हेडर अलग अलग लोगों को अलग अलग दिखने अवतार की सेवा, आदि
• शक्तिशाली विचार अपने अवतार एट-विल की उपस्थिति को बदल दें (यानी। इंतजार मंच-व्यवस्थापक अनुमोदन के लिए करने के लिए इसे थम्स-अप, और फिर इसे बदलने NSFW होने के लिए)

this Mozilla bug और the SVG integration specification देखें अधिक जानकारी के लिए।