svgに埋め込まれたscriptを実行させない
svg画像のHTTP Response HeaderにCSP script-src directiveをセットする script-src 'none'
こういうsvgを考える
code:svg
<image ...></image>
<foreignObject>
<script>alert("hello!");</script>
</foreignObject>
</svg>
ブラウザタブで表示してもinline scriptが実行されない
https://gyakky.herokuapp.com/svgyazo/dfbc953dc588084c24de450188ad46d8.svg
object要素内で表示しても実行されない
https://gyakky.herokuapp.com/svgyazo/4e0046c21cbf5b1a14755fc9f4fa79cd.svg
https://gyakky.herokuapp.com/svgyazo/598f227f9604479ceb13f6e9728ed41a.svg