Julius: Ordner nur JPG zulassen

Beitrag lesen

Hallo Gunnar,

Ohne deinen konkreten Anwendungsfall zu kennen, wäre zu überlegen, nicht auch PNG zu erlauben, das für Screenshots und Zeichnungen aufgrund der verlustfreien Kompression besser geeignet wäre.

Dann auch SVG.

Gibt es da nicht Sicherheitsprobleme, weil man da – im Gegensatz zu PNG und JPG – JavaScript einbetten kann (deshalb hatte ich SVG auch ausgelassen)? Bei der Einbindung über das img-Element werden zwar keine Scripte in der SVG ausgeführt, allerdings kann man die SVG ja auch alleine aufrufen und dann werden sie schon ausgeführt. Was helfen würde, wäre eine andere Domain für die SVGs, passende Angaben beim Cookie setzen (nicht per JS auslesbar machen, über die Path-Angabe auf die Nicht-SVG-Subdomain beschränken). Dann muss man bei Server-seitiger Verarbeitung der SVG (z.B. Rendern) noch aufpassen, dass man keine Probleme mit XXE bekommt.

Im Prinzip dürfte ein SVG-Upload machbar (siehe Wikipedia/Wikimedia) sein, erfordert aber im Vergleich zu Pixel-Grafiken mehr Aufwand bei der Konfiguration. Wahrscheinlich erlaubt WordPress aufgrund dieser Unwägbarkeiten standardmäßig nicht den Upload von SVG-Dateien.

Gruß
Julius