Comment autoriser la page Web à modifier le fichier svg de l'utilisateur, en toute sécurité?

eff

J'ai une page + javascript qui lit un fichier SVG d'utilisateur dans les données d'un <objet> HTML, puis modifie le DOM du SVG en utilisant javascript.

EDIT: L'utilisateur sélectionne un fichier dans son propre système de fichiers à l'aide d'un champ de saisie de type fichier.

Tout cela fonctionne bien dans Firefox, mais les bords et le chrome rechignent à citer la politique d'origine unique (si je comprends bien, le chrome crache

Empêche une image dont l'origine est «nulle» d'accéder à une image d'origine croisée.

tandis que edge refuse simplement de lire les données des objets).

Si je comprends assez bien la politique d'origine unique et les risques encourus, le refus de Edge et Chrome de jouer avec le SVG chargé est légitime. Premièrement, est-ce que je me trompe?

Deuxièmement, comment surmonter ce problème? Y a-t-il un moyen? Est-ce que le fait que l'utilisateur télécharge le SVG sur le serveur, puis le charge (afin qu'il partage l'origine comme ma page) fonctionnerait - et si oui, est-ce sûr?

Je recherche la "bonne" façon de faire cela: sans danger pour mon site, sans danger pour l'utilisateur, etc.

Merci

Questions similaires:

Modifier les données d'objet lors de l'exécution dans Chrome sans SOP - sans réponse
Comment accéder aux identifiants du fichier svg chargé en externe? - pas de réponse de travail
Contourner Chrome Access-control-allow-origin sur le système de fichiers local? - pour une page servie sur localhost

Toutes mes excuses si j'aurais dû faire quelque chose avec ces questions plutôt que de demander à nouveau. J'espérais qu'avec des techniques plus actuelles, une solution pourrait être trouvée.

Walle Cyril

Utilisez <svg>directement dans le HTML et mettez le fichier là-dedans.

Étant donné que l'utilisateur télécharge son propre fichier, il ne devrait y avoir aucun risque.

Vous devez toujours vérifier si le fichier svg est bien un fichier svg valide sans onload, <script>etc. à l'intérieur. Il est possible de valider svg sans l'exécuter. Utilisez une stratégie de liste blanche et faites-le avant de l'utiliser innerHTML. (Parce que les utilisateurs pourraient avoir reçu un fichier svg malveillant par message d'un attaquant par exemple). Ne faites jamais confiance à l'entrée de l'utilisateur.

Modifier en toute sécurité le fichier de commandes lors de l'exécution

Charles J'implémente un fichier de commandes similaire au wrapper Gradle. L'idée est qu'il téléchargera l'application principale et l'exécutera, sans que l'utilisateur n'ait à télécharger et installer l'application elle-même. Tout cela fonctionne bien, et main

Comment puis-je accepter et exécuter le code de l'utilisateur en toute sécurité sur mon application Web?

WOZNIK: Je travaille sur une application Web basée sur django qui prend en entrée un fichier python contenant une fonction, puis dans le backend, j'ai des listes qui sont passées en tant que paramètres via la fonction de l'utilisateur, ce qui générera une sort

Comment puis-je accepter et exécuter le code de l'utilisateur en toute sécurité sur mon application Web?

Réagir: comment afficher en toute sécurité un composant en fonction du rôle de l'utilisateur

Sylvain Laugier J'essaie d'afficher un tableau de bord d'administration dans reactet Meteoruniquement si l'utilisateur actuel est un administrateur . J'appelle une méthode serveur qui vérifie l'autorisation de l'utilisateur et rend le composant d'administratio

Comment obtenir en toute sécurité le nouveau nom de fichier à partir de l'événement SHNotify (SHCNE_RENAMEITEM)

GilesDMiddleton Je me suis connecté au shell Windows et je reçois bien les événements de notification dans mon fichier CWnd. Lorsque je reçois l' SHCNE_RENAMEITEMévénement, la SHGetPathFromIDList()fonction me renvoie l'ancien nom de fichier, mais pas le nouvea

Comment autoriser l'utilisateur à sélectionner le fichier à lire? c ++

batlady Je veux permettre à l'utilisateur de sélectionner un fichier texte, puis pour que le fichier texte soit lu par C ++ pour l'analyse du contenu. Ce code ouvre tout fichier sélectionné par l'utilisateur: system("explorer/select,c:\\Windows\\System32\\

Comment ajouter en toute sécurité l'UID utilisateur authentifié dans le document Firestore?

Jurgel Nous pouvons interroger en toute sécurité des documents à l'aide de l'UID de l'utilisateur authentifié, en utilisant des règles de Firestore comme celle-ci: service cloud.firestore { match /databases/{database}/documents { match /stories/{storyid}

Comment autoriser l'utilisateur à afficher / télécharger le fichier résultant de la boîte de dialogue de sélection de fichier dans le navigateur?

Arsenii Fomin J'ai une application Angular où les utilisateurs téléchargent des fichiers sur le serveur. Les fichiers sont reçus de la manière suivante (code non associé supprimé): @Component({ selector: "app-select-file-button", template: ` <input ty

Comment enregistrer en toute sécurité le nom d'utilisateur / mot de passe (local)?

Robin Je crée une application Windows, à laquelle vous devez d'abord vous connecter. Les détails du compte se composent du nom d'utilisateur et du mot de passe, et ils doivent être enregistrés localement. C'est juste une question de sécurité, donc les autres p

Comment autoriser la page Web à modifier le fichier svg de l'utilisateur, en toute sécurité?

Articles connexes

liste