pollutri
/
captive-portal-cms
1
0
Fork 0
Code Issues 0 Pull Requests 0 Releases 0 Wiki Activity
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
108 Commits
2 Branches
278 MiB
 
 
Branch: main
Branches Tags
${ item.name }
Create branch ${ searchTerm }
from 'main'
${ noResults }
captive-portal-cms/lib/svg-sanitize.ts

73 lines
2.8 KiB
Raw Permalink Blame History 

  1. // Sanitizer SVG focalizzato sul caso "logo del portale caricato dall'admin".

  2. // Approccio: rimozione regex-based dei costrutti pericolosi (deny-list aggressiva +

  3. // validazione che il contenuto sia davvero SVG). Non è una difesa esaustiva da

  4. // payload SVG sofisticati: per quello servirebbe DOMPurify+jsdom o xmldom.

  5. // Per il nostro modello di minaccia (admin trusted carica il proprio logo) basta.

  6. // Defense-in-depth: il file servito da /api/files include CSP `script-src 'none'`

  7. // quando il MIME è image/svg+xml.

  8. 

  9. // Tag che vanno completamente rimossi (anche il contenuto):

  10. //  - script/foreignObject/iframe/embed/object: codice eseguibile

  11. //  - style/link/meta: possono caricare risorse esterne o iniettare CSS dannoso

  12. //  - set/animate*: animation handlers possono triggerare eventi

  13. const FORBIDDEN_TAGS = [

  14.   'script',

  15.   'foreignObject',

  16.   'iframe',

  17.   'embed',

  18.   'object',

  19.   'link',

  20.   'meta',

  21.   'style',

  22.   'set',

  23.   'animate',

  24.   'animateMotion',

  25.   'animateTransform',

  26. ] as const;

  27. 

  28. const EVENT_ATTR_RE = /\s+on\w+\s*=\s*("[^"]*"|'[^']*'|\S+)/gi;

  29. 

  30. // href/xlink:href con schema non consentito.

  31. // Sono ammessi: #fragment, http(s)://, mailto:, tel:. Tutto il resto via.

  32. const UNSAFE_HREF_RE = /\s+(xlink:)?href\s*=\s*("|')\s*(?!#|https?:|mailto:|tel:|\2)[^"']*\2/gi;

  33. 

  34. // Rimuove strighe `javascript:` o `data:text/html` anche dentro attributi che non

  35. // passano dal pattern href (es. attributeName, values, ecc.) — best effort.

  36. const SCHEME_INLINE_RE = /(javascript:|data:text\/html)/gi;

  37. 

  38. export type SvgSanitizeResult =

  39.   | { ok: true; sanitized: string }

  40.   | { ok: false; error: string };

  41. 

  42. export function sanitizeSvg(input: string): SvgSanitizeResult {

  43.   if (typeof input !== 'string' || input.length === 0) {

  44.     return { ok: false, error: 'The SVG file is empty. Choose a non-empty .svg file.' };

  45.   }

  46.   // Deve essere un documento SVG: opzionalmente un XML declaration, opzionalmente

  47.   // commenti, e poi un tag <svg>.

  48.   if (!/^\s*(<\?xml[^?]*\?>\s*)?(<!--[\s\S]*?-->\s*)*<svg[\s>]/i.test(input)) {

  49.     return { ok: false, error: 'Not a valid SVG document: the file does not start with an <svg> tag. It may be corrupted or be a different format saved with an .svg extension.' };

  50.   }

  51. 

  52.   let out = input;

  53. 

  54.   // 1) Rimuove i tag vietati (sia open+close che self-closing)

  55.   for (const tag of FORBIDDEN_TAGS) {

  56.     // <tag ...>...</tag>

  57.     out = out.replace(new RegExp(`<${tag}\\b[^>]*>[\\s\\S]*?</${tag}>`, 'gi'), '');

  58.     // <tag ... /> oppure <tag ...>

  59.     out = out.replace(new RegExp(`<${tag}\\b[^>]*/?>`, 'gi'), '');

  60.   }

  61. 

  62.   // 2) Rimuove event handler (onload, onclick, onerror, ecc.)

  63.   out = out.replace(EVENT_ATTR_RE, '');

  64. 

  65.   // 3) Strippa href/xlink:href con schema non ammesso

  66.   out = out.replace(UNSAFE_HREF_RE, '');

  67. 

  68.   // 4) Rimozione difensiva di `javascript:` / `data:text/html` ovunque appaiano

  69.   out = out.replace(SCHEME_INLINE_RE, '');

  70. 

  71.   return { ok: true, sanitized: out };

  72. }