基础安全模型与来源策略
浏览器安全模型的核心在于通过同源策略、跨域资源共享和沙箱机制等机制保护文档和用户数据。对于 SVG 的动态操作,这些机制决定了脚本能否访问和修改同源文档以及嵌入的外部资源。理解这些要点是分析 file:// 与 http:// 下差异的基础。
在 file:// 与 http:// 的场景下,来源身份的不同会直接影响到脚本的访问权限。file:// 的来源通常被视为空源或独立源,而 http:// 则具有明确的主机域名。基于这一点,同源策略在 file:// 下往往更严格,XHR、Fetch、以及脚本访问常被限制,从而对 SVG 动态操作的能力产生影响。
对于 SVG 本身,动态操作的能力取决于嵌入方式。如果 SVG 是内嵌在 HTML 中,其 DOM 可以直接被脚本修改;若作为 、 或 iframe 的外部资源加载,跨域限制通常阻止直接访问 SVG 文档的 DOM,需要通过不同的通信或资源管理方案来实现交互。
// 基本的动态 SVG 操作示例(安全地创建一个矩形并附加到内嵌 SVG)
// 适用于同源、内嵌的 SVG 元素
const svg = document.getElementById('mySvg');
if (svg) {const Rect = document.createElementNS('http://www.w3.org/2000/svg', 'rect');Rect.setAttribute('x', 10);Rect.setAttribute('y', 20);Rect.setAttribute('width', 100);Rect.setAttribute('height', 50);Rect.setAttribute('fill', '#4caf50');svg.appendChild(Rect);
}
为了降低风险,优先采用安全的操作方式,例如通过 DOM API 逐步构建节点,而非将不可信的 HTML 片段直接赋给 innerHTML,以减少代码注入的机会。
file:// 场景下的 SVG 动态操作
在 file:// 场景中,只有在同一个文档中的内嵌 SVG 才具有可编程的 DOM 能力;当 SVG 作为外部资源被引入时,宿主页面与嵌入文档之间通常存在严格的同源边界。通过