ウェブ ストアでオンライン フォト エディタを使用しています。ユーザーは、svg-edit を使用して写真を編集し、変更を保存できます。ユーザーの結果は SVG ソース コード (...) として保存されます。その SVG ソース コードを PHP フォームから送信し、データベースに保存して、管理パネルに表示する必要があります。
Web ストアへのインジェクションや攻撃を恐れています。安全にする可能性はありますか?
SVG ソース コードのプライベート ハッシュを生成できません。これはクライアント側であり、作成できる要求はすべて AJAX 経由であるためです。
@編集
例: ユーザーが ... コードを保存し、そのコードが POST 経由で送信されています。PHP スクリプトでは、 $svg = $_POST['svg_source']; にアクセスできます。その POST 値でのインジェクションが気になります。攻撃者は、HTML、JS、その他のソース コードを挿入する可能性があります。
@編集:
そして、DB にその $_POST 値を保存し、PA で表示できます。しかし、攻撃者はいくつかの...コードを書くことができ、それは私がSVG画像を表示するPAで実行されます(SVGコードに基づく)
@編集:
SVG コードが有効で、JS や HTML コードが含まれていないことを確認するための解決策が必要です。または - Web サイトで SVG コードを安全に表示するためのソリューションが必要です。