К сожалению, в этом плане мы отданы на милость производителю браузера — как, впрочем, и в PNG, и в JPG. С одной стороны, они стараются избавиться от ошибок — например, как-то были скрипты в SVG (вроде в классической Опере). Исправили.
С другой — векторная графика на порядок сложнее точечной, и всё не предусмотришь.
Я бы поделил это на три части.
1. Типичные для XML риски.
• Entity-бомбы.
• Проблемы с DTD, особенно отсылки на локальные файлы и файлы-устройства.
• Сильно вложенные тэги, призванные пробить врагу стек. С этим надо быть предельно осторожным, чтобы не пробить стек себе :)
2. Известные эксплойты, связанные с SVG.
• Скрипты (и кто их вообще исполняет сейчас в SVG — но интернет говорит, что немало таких зловредов).
UPD. Исполняют, но при определённых условиях, и тэг IMG или фон через CSS теоретически безопасны.
3. SVG, которые не могут работать.
• Ссылка на внешний растровый файл.
Простой
