SVG e PDF: formatos subestimados que suportam interatividade nativa

O SVG não é só um formato de imagem vetorial: é um DOM vivo com suporte nativo a JavaScript, eventos do mouse, animações CSS e Web Animations API. Em 2026, 65% dos sites usam SVG, mas menos de 3% exploram seu potencial interativo. A razão? Suporte inconsistente em Safari (que ainda não implementa SVG 2.0 completo) e o custo de manter um runtime JS leve fora do navegador. Já o PDF interativo depende quase exclusivamente da API Adobe Acrobat JavaScript (AJAX), que evoluiu de JS 1.5 (Acrobat 5) para JS 1.8 (Acrobat X), mas nunca foi adotada por leitores como Preview ou Chrome PDF Viewer, que simplesmente ignoram scripts ou bloqueiam por padrão.

Isso cria um paradoxo técnico: o SVG tem capacidade real de rodar aplicações autocontidas (como o Flamegraph), mas exige sanitização rigorosa, o CEVIU já alertou em abril que a sanitização manual de SVGs no Scratch falha repetidamente contra XSS. O PDF, por sua vez, tem uma API madura, mas está tecnicamente obsoleta: sem acesso à posição do mouse em tempo real, sem eventos de movimento contínuo e com segurança comprometida, CVE-2026-24737 e CVE-2026-25755 provaram que bibliotecas como jsPDF ainda são alvo fácil de injeção de código via objetos malformados.

Em abril de 2026, o CEVIU destacou a falha crítica na sanitização de SVGs gerados por usuários. Hoje, em junho de 2026, essa vulnerabilidade ganhou nova dimensão: o uso crescente de LLMs para gerar SVGs interativos (69% dos devs front-end já usam IA para isso) amplifica o risco, pois o prompt pode injetar <script> sem que o autor perceba. Ao mesmo tempo, o PDF deixou de ser apenas um formato estático de arquivamento: com a migração do Adobe Acrobat API Services para OAuth Server-to-Server (encerrando JWT em 30/06/2025), APIs externas agora têm mais controle sobre execução segura de scripts, mas só se o leitor for o Acrobat.

SVG e PDF interativos não são curiosidades: são alternativas viáveis para documentos autônomos em ambientes offline, sistemas embarcados ou relatórios regulatórios que exigem assinatura digital + comportamento dinâmico. Mas exigem decisões técnicas concretas: usar SVG com sanitização baseada em DOMPurify + CSP, ou PDF com fallback para formulários acrofields e validação de assinatura em tempo de abertura. Ignorar isso significa trocar conveniência por riscos reais, como XSS em dashboards internos ou execução remota em relatórios financeiros exportados.