关键漏洞信息 1. SVG 脚本执行漏洞 描述: 不要在默认情况下执行 SVG 资源中的脚本,以防止 XSS 攻击。 相关文件: - (多个语言文件) - - - - - 修改: 添加了 配置项,用于控制是否允许在 SVG 中执行脚本,并在多个语言文件中添加了关于该配置项的提示,提醒用户注意 XSS 风险。 2. XSS 攻击风险 描述: 如果启用了在 SVG 中执行脚本的功能,SVG 内的代码将不会经过安全过滤,可能存在 XSS 攻击的风险。 相关文件: - : 添加了 函数,用于移除 SVG 中的脚本标签及其内容。 - : 添加了 函数,用于提取并移除 SVG 中的脚本标签。 3. 国际化支持 描述: 在多个语言文件中添加了关于 配置项的描述,以支持多语言警告信息。 相关文件: - 总结 该提交主要针对 SVG 脚本执行可能导致的 XSS 攻击进行了安全加固,通过添加配置项和相关提示,让用户能够更安全地控制 SVG 脚本的执行,并对多个语言文件进行了更新以提供多语言支持。同时,通过代码修改,进一步确保了在默认情况下不执行不安全的 SVG 脚本。