漏洞概述 该漏洞涉及在社交帖子附件中仅允许图片和视频,并对SVG内容进行 sanitization(净化)。具体包括: 1. 社交帖子附件限制:仅允许图片和视频作为附件。 2. SVG内容净化:对上传的SVG文件进行净化处理,防止潜在的安全风险。 影响范围 社交帖子附件:影响所有通过社交帖子上传的附件。 SVG文件处理:影响所有上传的SVG文件,确保其内容安全。 修复方案 1. 社交帖子附件限制: - 在 组件中,修改 属性,仅允许图片和视频文件。 - 在 和 组件中,更新文件类型验证逻辑,确保只接受图片和视频。 2. SVG内容净化: - 在 中,引入 类,对上传的SVG文件进行净化处理。 - 在 方法中,添加对SVG文件的特殊处理逻辑,确保其内容安全。 POC代码 以下是相关的代码片段: BaseFileUpload.vue SocialWallPost.vue ResourceController.php 以上代码展示了如何限制社交帖子附件类型以及对SVG文件进行净化处理的具体实现。