WordPress的SVG文件怎么上传？如何允许SVG？

wordpress默认不允许上传svg文件是因为svg是xml格式的文本文件，可能包含恶意javascript代码，存在跨站脚本攻击（xss）风险，为保障安全，系统默认禁止上传；解决方法主要有两种：一是使用safe svg等可靠插件，可自动清理svg中的危险代码，安全地启用svg上传功能；二是通过在主题的functions.php文件中添加代码来允许svg上传并修复后台显示问题，但该方法不自动过滤恶意代码，需确保文件来源可信，存在一定安全风险；此外，还可通过wp-config.php禁用文件类型检查，但此法极不安全，强烈不推荐；验证svg安全性可通过文本编辑器检查是否存在<script>标签或事件属性，或使用在线工具如owasp svg sanitizer扫描；除svg外，jpeg、png、gif、doc、xls、ppt、pdf及zip、rar等文件类型也可能携带恶意代码，需严格限制上传类型、进行文件清理并定期更新系统以防范风险，最终确保网站安全。

上传WordPress的SVG文件需要允许WordPress支持SVG格式，因为默认情况下，出于安全考虑，WordPress是不允许直接上传SVG文件的。

解决方案

1. 使用插件： 这是最简单也是推荐的方法。有很多免费和付费的WordPress插件可以让你安全地上传和使用SVG文件。一些流行的插件包括：

   • Safe SVG
   • SVG Support
   • Inline SVG

   安装并激活这些插件后，通常只需要在插件设置中启用SVG上传功能即可。Safe SVG插件会在上传时对SVG文件进行清理，移除潜在的恶意代码，增加安全性。

2. 修改

   functions.php

   登录后复制
   文件： 如果你不想使用插件，也可以通过修改主题的

   functions.php

   登录后复制
   文件来允许SVG上传。注意： 这种方法需要谨慎操作，错误的代码可能会导致网站出现问题。建议在修改之前备份你的

   functions.php

   登录后复制
   文件。

   将以下代码添加到你的

   functions.php

   登录后复制
   文件中：

   function cc_mime_types($mimes) {
     $mimes['svg'] = 'image/svg+xml';
     return $mimes;
   }
   add_filter('upload_mimes', 'cc_mime_types');
   
   function fix_svg() {
     echo '<style type="text/css">
           .attachment-266x266, .thumbnail img {
                width: 100% !important;
                height: auto !important;
           }
           </style>';
   }
   add_action( 'admin_head', 'fix_svg' );

   登录后复制

   这段代码做了两件事：

   • cc_mime_types

     登录后复制
     函数：允许上传

     image/svg+xml

     登录后复制
     类型的SVG文件。

   • fix_svg

     登录后复制
     函数：修复SVG在媒体库中的显示问题，确保缩略图正常显示。

   修改完成后，重新登录WordPress后台，然后就可以上传SVG文件了。

   

   Cutout老照片上色

   Cutout.Pro推出的黑白图片上色

   20

   查看详情

3. 通过

   wp-config.php

   登录后复制
   禁用文件类型检查（不推荐）： 这种方法非常不安全，强烈不推荐。它会禁用WordPress的文件类型检查，允许上传任何类型的文件，包括恶意脚本。除非你完全了解自己在做什么，否则不要使用这种方法。

为什么WordPress默认不允许上传SVG文件？

SVG文件本质上是XML格式的文本文件，可以包含JavaScript代码。如果上传了包含恶意JavaScript代码的SVG文件，可能会导致跨站脚本攻击（XSS），危及网站的安全。因此，WordPress默认情况下禁止上传SVG文件，以防止潜在的安全风险。

使用插件上传SVG文件安全吗？

一般来说，使用信誉良好的插件上传SVG文件是安全的。这些插件通常会对上传的SVG文件进行清理，移除潜在的恶意代码，从而降低安全风险。例如，Safe SVG插件在上传时会删除所有不安全的元素和属性，只保留SVG的图形部分。不过，即使使用插件，也建议只上传来自可信来源的SVG文件。

修改

functions.php

登录后复制

文件允许上传SVG有什么风险？

修改

functions.php

image/svg+xml

如何验证上传的SVG文件是否安全？

在上传SVG文件之前，可以尝试以下方法来验证其安全性：

1. 使用文本编辑器打开SVG文件： 用文本编辑器（如Notepad++、Sublime Text等）打开SVG文件，查看其内容。检查是否存在

   <script>

   登录后复制
   标签、

   onclick

   登录后复制
   等事件处理属性，以及其他可疑的代码。如果发现任何可疑的代码，请不要上传该文件。
2. 使用在线SVG安全扫描工具： 有一些在线工具可以扫描SVG文件，检测其中是否存在潜在的安全风险。例如，你可以使用OWASP的SVG Sanitizer来清理SVG文件。
3. 限制SVG文件的使用范围： 尽量避免在用户可以控制的区域（如评论、用户头像等）使用SVG文件。如果必须使用，请确保对SVG文件进行严格的验证和清理。

除了SVG，还有哪些文件类型需要注意安全问题？

除了SVG文件，还有许多其他文件类型也可能存在安全风险，需要注意：

• 图像文件（如JPEG、PNG、GIF）： 图像文件也可能包含恶意代码，例如通过图像隐写术隐藏恶意脚本。
• Office文档（如DOC、XLS、PPT）： Office文档可以包含宏病毒，通过执行恶意宏代码来感染系统。
• PDF文件： PDF文件可以包含JavaScript代码，通过执行恶意JavaScript代码来攻击系统。
• 压缩文件（如ZIP、RAR）： 压缩文件可能包含恶意文件，例如病毒、木马等。

为了确保网站的安全，建议对所有上传的文件进行严格的验证和清理，只允许上传必要的文件类型，并限制上传文件的大小。同时，定期更新WordPress和插件，及时修复安全漏洞。

以上就是WordPress的SVG文件怎么上传？如何允许SVG？的详细内容，更多请关注php中文网其它相关文章！