从提供的页面截图中可以获取到两个关键信息关于漏洞修复: 1. 修复 SVG 内容漏洞 - 原因:之前的代码可能没有对用户上传的 SVG 内容进行安全处理,存在 XSS(跨站脚本攻击)风险。 - 修复措施: - 引入了 库,对 SVG 内容进行清洗(sanitize),以防止潜在的 XSS攻击。 - 使用 函数处理了 数据: 2. 防止特权提升(Privilege Escalation) - 原因:之前嵌入的 缺乏安全限制,可能被恶意利用,例如执行脚本、弹窗等,威胁到用户操作环境安全。 - 修复措施: - 为 添加了 sandbox 属性,例如: - 同时允许特定权限,使用自定义函数 控制: - 确保在需要时才允许特定的 iframe 权限,以达到安全平衡。