yes please
authorsmcv <smcv@web>
Fri, 4 Jul 2014 09:35:57 +0000 (05:35 -0400)
committeradmin <admin@branchable.com>
Fri, 4 Jul 2014 09:35:57 +0000 (05:35 -0400)
doc/todo/upload__95__figure.mdwn

index 52034c21bf9e283b16eeea686a64b13b35188de3..d8dd65921505b63a8f06f358a7de3e6110c7a410 100644 (file)
@@ -8,3 +8,13 @@ Unfortunately, Github shows [[raw code|https://github.com/paternal/ikiwiki/blob/
 
 --[[Louis|spalax]]
 
+> Unfortunately SVG can contain embedded JavaScript, so anyone who can
+> upload arbitrary SVG to this wiki can execute JavaScript in its security
+> context, leading to stealing login cookies and other badness. GitHub
+> won't display arbitrary user-supplied SVG for the same reasons.
+>
+> I've seen various attempts to sanitize SVG via a whitelist, but it's
+> just too large a specification to be confident that you're right, IMO.
+>
+> This particular SVG [[looks good to me|users/smcv/ready]] and I've
+> mirrored it in my own git repo. --[[smcv]]