SVG - забавная штука. Это формат графики, который представлен в виде XML файла. Поэтому в нем уже делали всякие атаки, типа XXE. С помощью него выполняются XSS атаки при открытии изображения в браузере. Но еще, он странно ведет себя как тег в html страницах.
Совсем недавно, Safari выполнял событие onload в любом элементе, которое находится в теге svg.
А Firefox умеет выполнять тег <script>, даже если он не закрытый.
На самом деле, при построении DOM-дерева он автоматически закрывает SVG, а для того, чтобы это был корректный XML - все теги внутри него (а еще, ты можешь заметить href, вместо src). Но это можно использовать для обхода некоторых видов защит.
Совсем недавно, Safari выполнял событие onload в любом элементе, которое находится в теге svg.
<svg><hello onload=alert(1337)>А Firefox умеет выполнять тег <script>, даже если он не закрытый.
<svg><script href=data:,alert(1) />На самом деле, при построении DOM-дерева он автоматически закрывает SVG, а для того, чтобы это был корректный XML - все теги внутри него (а еще, ты можешь заметить href, вместо src). Но это можно использовать для обхода некоторых видов защит.