Przy okazji, gdzieś obiło mi się o uszy, że pliki svg mogą być wykorzystane do ataku cross-site-scripting poprzez umieszczenie w nich kodu JS - czy to prawda?
Tak, pliki SVG mogą zawierać kod JS. Niemniej jeśli mamy ustawiony odpowiednio Content Security Policy + wczytujemy obrazek przy pomocy img, to ryzyko jest minimalne.
Niemniej wczytywanie obrazka z zewnętrznej strony może służyć do trackowania innych użytkowników (bo nie wiesz, co robi serwer, zanim nie wyśle obrazka).