ST
На защиту не повлияет?
Size: a a a
2020 September 21
КА
На защиту не повлияет?
ну ты не копируй просто мой текст, выбери расширения файлов, которые можно грузить
ST
ну ты не копируй просто мой текст, выбери расширения файлов, которые можно грузить
Ну свг же не просто так запретили
КА
Ну свг же не просто так запретили
А, если ты об этом, то это только на твой страх и риск
КА
Насколько я знаю, если svg юзать в тегах img, то это безопасно
КА
Но если к загрузке svg и размещению их в контенте имеет доступ большое количество человек, я бы рекомендовал изучить этот вопрос 🙂 может в чате кто-то знает про безопасность svg и подскажет
AP
открывай config/cms.php
и добавляй:
и добавляй:
'fileDefinitions' => [ 'defaultExtensions' => [ 'jpg', 'jpeg', 'bmp', 'png', 'webp', 'gif', 'svg', 'js', 'map', 'ico', 'css', 'less', 'scss', 'ics', 'odt', 'doc', 'docx', 'pdf', 'swf', 'txt', 'xml', 'ods', 'xls', 'xlsx', 'eot', 'woff', 'woff2', 'ttf', 'flv', 'wmv', 'mp3', 'ogg', 'wav', 'avi', 'mov', 'mp4', 'mpeg', 'webm', 'mkv', 'rar', 'zip','pptx', 'ppt', 'pdf', 'zip' ] ],+ ❤️ Все заработало!))
A
lexter_wayne (0) увеличил карму anikin_k (816.61)
v
Насколько я знаю, если svg юзать в тегах img, то это безопасно
Безопасно, даже если там будет в теле js, что позволяет сам svg - при использовании только через теги img или css background это будет безопасно, через canvas когда последний раз проверяли - js код просачивался, что может являться потенцеальной xss.
Однако, рекомендуется вымещать svg на отдельный поддомен, чтобы политики CORS в этом случае спасали от разной ерунды типо xss в svg. Так же отдавать svg только как статические файлы корректно настроив сервер.
Так же, думаю, стоит учитывать, что к svg почему-то применяются не все правила парсинга XML. К примеру при валидации svg если в каком-то аттрибуте будет ошибка, этот аттрибут будет просто пропущен при парсинге парсером браузера, ну и так же не стоит оставлять без внимания возможности svg по поддержке doctype, что может являться потенциальной XXE, однако на практике пока не видел, только слышал. Но слышал про использование XSLT в svg, когда один файл svg может использоваться в img или iframe и в зависимости от места где используется представлять себя по разному.
Однако, рекомендуется вымещать svg на отдельный поддомен, чтобы политики CORS в этом случае спасали от разной ерунды типо xss в svg. Так же отдавать svg только как статические файлы корректно настроив сервер.
Так же, думаю, стоит учитывать, что к svg почему-то применяются не все правила парсинга XML. К примеру при валидации svg если в каком-то аттрибуте будет ошибка, этот аттрибут будет просто пропущен при парсинге парсером браузера, ну и так же не стоит оставлять без внимания возможности svg по поддержке doctype, что может являться потенциальной XXE, однако на практике пока не видел, только слышал. Но слышал про использование XSLT в svg, когда один файл svg может использоваться в img или iframe и в зависимости от места где используется представлять себя по разному.
MB
Добры день
выдfет такую ошибку, когда пытаюсь загрузить svg В medifinder
подскажите решение
выдfет такую ошибку, когда пытаюсь загрузить svg В medifinder
подскажите решение
NK
Michael B
Добры день
выдfет такую ошибку, когда пытаюсь загрузить svg В medifinder
подскажите решение
выдfет такую ошибку, когда пытаюсь загрузить svg В medifinder
подскажите решение
Буквально пару сообщений вверх промотай
S
Michael B
Добры день
выдfет такую ошибку, когда пытаюсь загрузить svg В medifinder
подскажите решение
выдfет такую ошибку, когда пытаюсь загрузить svg В medifinder
подскажите решение
выше пару сообщений
MB
МИ
Добрый день. После того, как я скомпилировала js в artisan. Появилась новая проблема. Мне нужно чтобы форма обратной связи после отправки делала копию на почту. Сейчас в настройках стоит метод php. На других сайтах этот метод работает. А здесь, может из за компиляции, не работает. Помогите понять, что я делаю не так.
МИ
Пользуюсь плагином magic form
Р
Добрый день. После того, как я скомпилировала js в artisan. Появилась новая проблема. Мне нужно чтобы форма обратной связи после отправки делала копию на почту. Сейчас в настройках стоит метод php. На других сайтах этот метод работает. А здесь, может из за компиляции, не работает. Помогите понять, что я делаю не так.
Если не ошибаюсь в magic forms нет поддержки cc и bcc (открытая и скрытая копия). Но есть возможность указать несколько получателей в настройках компонента. Ещё на всякий случай проверьте лог ошибок в админке (в настройках, в самом низу).
S
в меджике можно отправить копию тому кто оставляет заявку
S
там есть филд в котором указываешь из какого поля взять email
ST
а как в меджик формс прикрутить капчу?
ST
и какую капчу вообще надо: v2 или v3?