php – 允许用户呈现自己的SVG文件的安全隐患

> Inkscape似乎并没有受到JavaScript onload tags的困扰,并且愉快地呈现内容而没有发生任何不幸事件(也就是说,我不能让Firefox 10使用这种方法来咳嗽警报框).
>我担心< image xlink：href />标签可以使用外部URI链接到巨大的或格式错误的位图图像 – 理论上可能会使服务崩溃.有没有一种简单的方法来遍历XML文档来过滤这些？我当然可以使用XMLReader轻松完成这项工作,但是想知道我是否可能需要处理诸如&#111; nload for’onload’之类的东西(虽然Firefox只是将它拒绝为无效,所以这可能是一种不必要的担心). Sidenode：图像本身是可以接受的,但我认为我要么要求它们是内联数据：要么是白名单可接受的目标URI,文件大小限制.
>是否有任何SVG指令(特别是渲染文本)可能包含系统文件的文本内容,例如/ etc / passwd等？
>我还可以采取的一种方法是针对SVG规范进行验证.这是我问过here的另一个问题的主题.

我正在使用PHP 5.2与XMLReader和XMLWriter,但其他基于PHP流的系统是可以接受的.系统是开发的OS X 10.6.8和生产中的LAMP.