¿Cómo puedo representar documentos SVG de forma segura en una aplicación para compartir medios?
Creo que la política del mismo origen podría ayudar un poco si almaceno los documentos SVG en un dominio separado y los muestro dentro de un elemento <iframe>
, pero no estoy seguro de que la política del mismo origen detecte algo similar a <script>window.top.location = 'http://malic.io.us/pwnd'</script>
en el SVG.
No he podido encontrar nada a través de la búsqueda web. ¿Tiene alguna práctica canónica o es un rincón poco desarrollado de las especificaciones web?