SVG 是使用 XML 来描述二维图形和绘图程序的语言。SVG可缩放矢量图形(Scalable Vector Graphics),顾名思义就是任意改变其大小也不会变形,是基于可扩展标记语言(XML),他严格遵从XML语法,并用文本格式的描述性语言来描述图像内容,因此是一种和图像分辨率无关的矢量图形格式。通过在线图片转SVG,我们可以看到基本的SVG图片格式。
SVG标准
中定义了script标签的存在,<svg>遵循XML和SVG的定义,因此我们可以利用其来执行XSS。
构造一个SVG文件
将文件拖入浏览器
触发js alert
然后构造获取secret的xss脚本,发给admin,获得flag。