SVG，网站的定时炸弹？

可缩放矢量图形SVG（Scalable Vector Graphics），很多人或许对它有刻板印象，认为它就是跟JPG、PNG等类型一样的图片格式类型。你有所不知的是，它实际上是一种文档的格式，严格来说，它应该是一种开放标准的矢量图形语言。

那为什么说SVG是网站的定时炸弹？它，是吗？

SVG释义

SVG只是平平无奇的文档格式，用XML定义的语言。SVG图形可以是交互的、动态的，在其中嵌入动画元素或者通过脚本来定义动画也是可以的。倘若你想要查看SVG文件，可以选择使用任何可以读取XML文件的应用程序或者打开文本编辑器去查看阅读。

SVG独家秘笈

• SVG可以在各大显示器查看，可以随便调整图片的大小，但是不会丢失任何图像质量；
• 可缩放矢量图形不管显示多大的图像，但是可以拥有非常小的文件大小，而且不会影响网站的整体性能和下载速度；
• 压缩到任何的尺寸，不会改变清晰度（除了非常小的SVG图片文件）；
• 有自己的一套特定的浏览器支持技术，兼容性高（IE8和Android2.3以下版本除外）；

为什么说SVG是网站定时炸弹？

上面有提到，SVG实际上是一种文档格式，是用XML定义的语言。所以，SVG的危险所在便是它是可以用任何的文本编辑器打开的XML，可以内嵌CSS、JavaScript代码，而浏览器会自动运行嵌入在SVG文件的代码。倘若你的SVG文件中嵌有恶意代码，那么你的网站将会陷入困境。

我们在Spam域名行为大赏里面有讲过网站里面充满垃圾信息，运行SVG里面的恶意脚本，那么你的网站也将会被搜索引擎判定为是Spam域名，那网站权重、排名便如眼前云烟，离你甚远了。

怎么拆除“定时炸弹”？

在默认情况下，出于对网站的安全考虑，WordPress是不支持上传SVG文件的，所以最万全的方法是，完全不用，这样就从源头上根治，所以倘若你的网站是允许用户能够自主上传文件的，那么应该设置限制上传SVG。
或者是你将SVG文件转化成PNG、JPG、GIF格式的图片文件，虽然这样失去了SVG带给你的“快乐”，但是起码是安全的，因为SVG可供安插的脚本文件不会携带转移到新的被转换文件中，网站也就免除了随时怀揣定时炸弹的危险。
借助工具，是你可以切身体验到开外挂的便捷。可以借助清除SVG夹杂的“私货”的工具，免受SVG的攻击的同时还能享受使用它的好处。

归纳

SVG文件利弊兼之，一个硬币也有正反面呢，倘若你能在网站建设中，好好利用SVG，发挥它的最大效用，那么你便能好好拿捏住SVG的炸弹开关，那定时炸弹便也就成了哑弹，与网站没有安全威胁了。