svgに埋め込まれたscriptを実行させない
svg画像のHTTP Response HeaderにCSP script-src directiveをセットする
script-src 'none' こういうsvgを考える
svg<svg xmlns="http://www.w3.org/2000/svg">
<image ...></image>
<foreignObject>
<script>alert("hello!");</script>
</foreignObject>
</svg>ブラウザタブで表示してもinline scriptが実行されない
object要素内で表示しても実行されない
