SVG安全 on 办公AI智能小助手

从SVG上传漏洞看存储型XSS攻击：一次chat.line.biz的真实案例解析

Sun, 11 Jan 2026 19:03:40 +0800

该Web应用程序允许用户通过chat.line.biz上传SVG文件，但未能正确过滤或禁用嵌入在SVG内容中的脚本。因此，攻击者可以上传包含JavaScript的恶意SVG文件，当其他用户稍后在管理界面中打开此文件时，嵌入的脚本将在浏览器中执行，从而导致存储型跨站脚本（Stored XSS）漏洞。

Sat, 03 Jan 2026 18:30:57 +0800

漏洞标题：通过SVG文件导致的存储型XSS漏洞

漏洞平台：Nextcloud

报告ID：#3357808

报告状态：已解决

Fri, 19 Sep 2025 04:09:14 +0800

2018年8月16日星期四

这项研究始于我为一位客户进行测试时，其需求是允许SVG文件上传并在网站上显示。大多数人认为SVG文件与PNG或GIF类似是图像文件，但实际上它们是描述图像的XML文件。安全人员关注的是，SVG可以包含JavaScript，并在图像渲染时执行。w3schools.com对此有很好的介绍。