Kannst du eine Beispiel-SVG-Datei irgendwo hochladen? Optimalerweise vielleicht auch noch mit einem PNG-Screenshot oder so dazu, damit man weiß, wie sie korrekt aussehen sollte. Sicher ist sicher. Dann könnte man mal probieren.

Ich würde zuerst zu so was wie convert (aus dem ImageMagick-Toolset) tendieren.

• https://www.imagemagick.org/script/command-line-processing.php

Ganz am Rande:

Wobei meine Beschwerde über C-Software da vielleicht etwas pauschal war, aber leider auch keine reine Übertreibung:

• https://imagetragick.com/

Ich glaube zwar nicht, dass bei deiner Anwendung ein realistisches Angriffsszenario besteht, aber de facto würde eben eine SVG-Grafik an deinen Server übertragen (via Ajax). Die wäre aus Serversicht gewissermaßen Nutzereingabe. Andererseits müsste man da als Angreifer dann aber natürlich auch erst mal was injiziert bekommen, was wohl sehr sehr unwahrscheinlich ist.

Na ja, damit kann man sich später noch befassen.