Genau aus dem Grund unterstützt der Diätkanal auch kein SVG
>>109192.
>>158571>Wird der JavaScript-Kot aus der SVG-Datei auch ausgeführt, wenn der Brauser die SVG-Datei normal, eingebettet auf einer Webseite, anzeigt?
Wenn als <img> eingebettet, dann glaube ich nicht. Wenn direkt als <svg> eingebettet, dann schon. Und wenn du das Bild als eigenständige Seite öffnest (z.B. in einem neuen Tab), dann wird der Kot natürlich auch ausgeführt.
>Und damit meint Felix wirklich den JavaScript-Kot _in_ der SVG-Datei, nicht JavaScript-Kot auf der Seite, welcher z.B. die SVG-Elemente manipuliert.
Selbstverständlich.
>Warum darf die SVG-Datei, die lokal geöffnet wird, Anfragen ans Internet ausschicken? Lokal gespeicherte HTML-Dateien dürfen das auch nicht.
Gute Frage. Zunächst mal wäre zu klären: Ist das denn überhaupt so? Soweit Felix weiß, dürfen Seiten aus dem Internetz zwar keine Verbindung zu Localhost oder zum lokalen Netzwerk oder gar zum lokalen Dateisystem aufbauen, aber umgekehrt gilt das (zumindest im Feuerfuchs) nicht unbedingt, sonst gäbe es diese Frage auf Reddit [0] wohl nicht. Andererseits scheint Chrom Cross-Origin-Requests von lokalen Seiten zu blocken [1], allerdings ist nicht klar, ob das nur für JS-initiierte Anfragen gilt, und ob es einen Unterschied gibt, ob es z.B. ein GET- oder ein POST-Request ist. Wie Edge das handhabt, konnte Felix nicht in Erfahrung bringen.
[0] https://old.reddit.com/r/firefox/comments/191tquz/is_there_a_way_to_block_network_access_from_local/
[1] https://stackoverflow.com/questions/42590625/posting-from-local-html-javascript-website-to-an-online-php-file