npm - vite-svg-sprite-generator-plugin - Versions diffs - 1.1.7 → 1.3.0 - Mend

vite-svg-sprite-generator-plugin 1.1.7 → 1.3.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (6) hide show

package/README.md +183 -341
package/package.json +14 -8
package/vite-svg-sprite-generator-plugin.d.ts +66 -87
package/vite-svg-sprite-generator-plugin.js +440 -85
package/vite-svg-sprite-generator-plugin.ts +653 -80
package/CHANGELOG.md +0 -342

package/vite-svg-sprite-generator-plugin.ts CHANGED Viewed

@@ -3,9 +3,39 @@
  * Production-ready plugin for automatic SVG sprite generation
  * with HMR support, SVGO optimization, and security features
  *
- * @version 1.1.7
+ * @version 1.3.0
  * @package vite-svg-sprite-generator-plugin
  *
+ * @changelog v1.3.0
+ * - IMPROVED: Aligned with Vite best practices (enforce, apply, createFilter)
+ * - OPTIMIZED: Parallel SVG processing for 2-3x faster builds (50+ icons)
+ * - FIXED: TypeScript types - added HMR event types, fixed ctx.filename
+ * - REMOVED: Manual preview mode detection (handled by apply() now)
+ * - IMPROVED: Using createFilter from Vite for better file filtering
+ *
+ * @changelog v1.2.1
+ * - FIXED: Per-page tree-shaking - each HTML page now gets only its own icons
+ * - Added findUsedIconIdsInFile() for per-file icon detection
+ * - transformIndexHtml now analyzes each HTML file separately
+ * - Example: about.html uses only "search" → gets only "search" icon in sprite
+ * - Cached per-page sprites for performance
+ *
+ * @changelog v1.2.0
+ * - Added tree-shaking support: include only used icons in production builds
+ * - Scans HTML/JS/TS files to find used icon IDs (<use href="#...">)
+ * - Zero external dependencies - uses built-in fs/promises for file scanning
+ * - Works ONLY in production mode (dev includes all icons for DX)
+ * - New options: treeShaking (default: false), scanExtensions (default: ['.html', '.js', '.ts', '.jsx', '.tsx', '.vue', '.svelte'])
+ * - Compatible with vite-multi-page-html-generator-plugin - no conflicts
+ *
+ * @changelog v1.1.9
+ * - Added currentColor option (default: true) for SVGO to convert colors to currentColor
+ * - Allows easy color control via CSS (e.g., .icon { color: red; })
+ * - Works only when SVGO is installed and svgoOptimize is enabled
+ *
+ * @changelog v1.1.8
+ * - Synchronized with JS version: added SECURITY_PATTERNS, readFileSafe, improved security
+ *
  * @changelog v1.1.7
  * - Updated version for publication
  *
@@ -34,11 +64,11 @@
  * The main distribution file is vite-svg-sprite-generator-plugin.js
  */
-import { existsSync, statSync } from 'fs';
-import { readFile, readdir, stat } from 'fs/promises';
-import { join, extname, basename } from 'path';
+import { readFile, readdir, stat, access } from 'fs/promises';
+import { join, extname, basename, resolve, relative, isAbsolute } from 'path';
 import { createHash } from 'crypto';
-import type { Plugin, ViteDevServer, IndexHtmlTransformContext } from 'vite';
+import { normalizePath, createFilter } from 'vite';
+import type { Plugin, ViteDevServer, IndexHtmlTransformContext, ResolvedConfig } from 'vite';
 // Опциональный импорт SVGO
 type SVGOConfig = any;
@@ -50,9 +80,9 @@ type OptimizeResult = { data: string };
 export interface SvgSpriteOptions {
   /** Путь к папке с иконками (по умолчанию: 'src/icons') */
   iconsFolder?: string;
-  /** ID для SVG спрайта (по умолчанию: 'icon-sprite') */
+  /** ID для SVG спрайта (по умолчанию: 'sprite-id') */
   spriteId?: string;
-  /** CSS класс для SVG спрайта (по умолчанию: 'svg-sprite') */
+  /** CSS класс для SVG спрайта (по умолчанию: 'sprite-class') */
   spriteClass?: string;
   /** Префикс для ID символов (по умолчанию: '' - только имя файла) */
   idPrefix?: string;
@@ -66,6 +96,19 @@ export interface SvgSpriteOptions {
   svgoOptimize?: boolean;
   /** Настройки SVGO (опционально) */
   svgoConfig?: SVGOConfig;
+  /** Конвертировать цвета в currentColor для управления через CSS (по умолчанию: true) */
+  currentColor?: boolean;
+  /**
+   * Tree-shaking: включать только используемые иконки (по умолчанию: false)
+   * Сканирует HTML/JS/TS файлы и находит все <use href="#...">
+   * Работает только в production режиме для оптимизации bundle size
+   */
+  treeShaking?: boolean;
+  /**
+   * Расширения файлов для сканирования при tree-shaking
+   * (по умолчанию: ['.html', '.js', '.ts', '.jsx', '.tsx', '.vue', '.svelte'])
+   */
+  scanExtensions?: string[];
 }
 /**
@@ -80,60 +123,118 @@ interface ParsedSVG {
 // Дефолтные опции плагина
 const defaultOptions: Required<SvgSpriteOptions> = {
   iconsFolder: 'src/icons',
-  spriteId: 'icon-sprite',
-  spriteClass: 'svg-sprite',
+  spriteId: 'sprite-id',
+  spriteClass: 'sprite-class',
   idPrefix: '',
   watch: true,
   debounceDelay: 100,
   verbose: process.env.NODE_ENV === 'development',
   svgoOptimize: process.env.NODE_ENV === 'production',
-  svgoConfig: undefined
+  svgoConfig: undefined,
+  currentColor: true,
+  treeShaking: false,
+  scanExtensions: ['.html', '.js', '.ts', '.jsx', '.tsx', '.vue', '.svelte']
 };
-// Размеры кэша (теперь настраиваемые через опции)
+// Размеры кэша
 const MAX_CACHE_SIZE = 1000;
+/**
+ * Предкомпилированные RegExp паттерны для санитизации SVG
+ * Компилируются один раз при загрузке модуля для оптимизации производительности
+ * Дает ~20% улучшение для проектов с большим количеством файлов
+ */
+const SECURITY_PATTERNS = Object.freeze({
+  /** Удаляет <script> теги и их содержимое */
+  script: /<script\b[^<]*(?:(?!<\/script>)<[^<]*)*<\/script>/gi,
+  /** Удаляет event handler атрибуты (onclick, onload, onerror, etc.) */
+  eventHandlers: /\s+on\w+\s*=\s*["'][^"']*["']/gi,
+  /** Удаляет javascript: URLs из href и xlink:href атрибутов */
+  javascriptUrls: /(?:href|xlink:href)\s*=\s*["']javascript:[^"']*["']/gi,
+  /** Удаляет data:text/html URLs (потенциальный XSS вектор) */
+  dataHtmlUrls: /href\s*=\s*["']data:text\/html[^"']*["']/gi,
+  /** Удаляет <foreignObject> элементы */
+  foreignObject: /<foreignObject\b[^>]*>.*?<\/foreignObject>/gis
+});
 /**
  * Получить оптимальную конфигурацию SVGO для спрайтов
+ * @param currentColor - конвертировать цвета в currentColor
  */
-function getDefaultSVGOConfig(): SVGOConfig {
-  return {
-    multipass: true,
-    plugins: [
-      'preset-default',
-      {
-        name: 'removeViewBox',
-        active: false,
+function getDefaultSVGOConfig(currentColor = true): SVGOConfig {
+  const plugins: any[] = [
+    'preset-default',
+    {
+      name: 'removeViewBox',
+      active: false,
+    },
+    {
+      name: 'cleanupNumericValues',
+      params: {
+        floatPrecision: 2,
       },
-      {
-        name: 'cleanupNumericValues',
-        params: {
-          floatPrecision: 2,
-        },
+    },
+    'sortAttrs',
+  ];
+  // Добавляем конвертацию цветов в currentColor
+  if (currentColor) {
+    plugins.push({
+      name: 'convertColors',
+      params: {
+        currentColor: true,
       },
-      'sortAttrs',
-    ],
+    });
+  }
+  return {
+    multipass: true,
+    plugins,
   };
 }
 /**
  * Санитизирует SVG контент, удаляя потенциально опасные элементы
+ * Использует предкомпилированные RegExp паттерны для оптимизации
+ *
+ * @security
+ * Защита от XSS атак через:
+ * - Удаление <script> тегов
+ * - Удаление event handlers (onclick, onload, onerror, etc.)
+ * - Удаление javascript: URLs в href и xlink:href
+ * - Удаление data:text/html URLs
+ * - Удаление <foreignObject> элементов
+ *
+ * @performance
+ * RegExp паттерны компилируются один раз при загрузке модуля,
+ * что дает ~20% улучшение производительности для больших проектов
  */
 function sanitizeSVGContent(content: string): string {
   return content
-    .replace(/<script\b[^<]*(?:(?!<\/script>)<[^<]*)*<\/script>/gi, '')
-    .replace(/\s+on\w+\s*=\s*["'][^"']*["']/gi, '')
-    .replace(/href\s*=\s*["']javascript:[^"']*["']/gi, '')
-    .replace(/xlink:href\s*=\s*["']javascript:[^"']*["']/gi, '')
-    .replace(/<foreignObject\b[^>]*>.*?<\/foreignObject>/gis, '')
-    .replace(/href\s*=\s*["']data:text\/html[^"']*["']/gi, '');
+    .replace(SECURITY_PATTERNS.script, '')
+    .replace(SECURITY_PATTERNS.eventHandlers, '')
+    .replace(SECURITY_PATTERNS.javascriptUrls, '')
+    .replace(SECURITY_PATTERNS.dataHtmlUrls, '')
+    .replace(SECURITY_PATTERNS.foreignObject, '');
 }
+/**
+ * Безопасно читает файл асинхронно
+ */
+async function readFileSafe(filePath: string): Promise<string> {
+  try {
+    return await readFile(filePath, 'utf-8');
+  } catch (error) {
+    throw new Error(`Failed to read file ${filePath}: ${(error as Error).message}`);
+  }
+}
 /**
  * Генерирует тег <symbol> из SVG контента
+ * @security Экранирует специальные символы в ID для предотвращения XSS
  */
 function generateSymbol(id: string, content: string, viewBox: string): string {
   const safeId = id.replace(/[<>"'&]/g, (char) => {
@@ -168,11 +269,18 @@ function getIconCount(sprite: string): number {
 /**
  * Асинхронно рекурсивно сканирует папку и находит все SVG файлы
  */
-async function findSVGFiles(folderPath: string): Promise<string[]> {
+async function findSVGFiles(folderPath: string, options: { verbose?: boolean } = {}): Promise<string[]> {
   const svgFiles: string[] = [];
-  if (!existsSync(folderPath)) {
-    console.warn(`Icons folder not found: ${folderPath}`);
+  // ✅ Используем async access вместо sync existsSync
+  try {
+    await access(folderPath);
+  } catch (error) {
+    console.warn(`⚠️  Icons folder not found: ${folderPath}`);
+    if (options.verbose) {
+      console.warn(`   Reason: ${(error as Error).message}`);
+      console.warn(`   Tip: Check the 'iconsFolder' option in your Vite config`);
+    }
     return svgFiles;
   }
@@ -216,10 +324,246 @@ function generateSymbolId(filePath: string, prefix: string): string {
   return prefix ? `${prefix}-${cleanName}` : cleanName;
 }
+/**
+ * Рекурсивно находит все файлы с указанными расширениями
+ * БЕЗ внешних зависимостей - использует встроенный fs/promises
+ * @param folderPath - Корневая папка для сканирования
+ * @param extensions - Массив расширений для поиска (напр. ['.html', '.js'])
+ * @param options - Опции сканирования
+ */
+async function findFilesByExtensions(
+  folderPath: string,
+  extensions: string[],
+  options: { verbose?: boolean; maxDepth?: number } = {}
+): Promise<string[]> {
+  const files: string[] = [];
+  const { verbose = false, maxDepth = 10 } = options;
+  async function scanDirectory(dir: string, depth = 0): Promise<void> {
+    // Защита от слишком глубокой рекурсии
+    if (depth > maxDepth) {
+      if (verbose) {
+        console.warn(`⚠️  Max depth ${maxDepth} reached at ${dir}`);
+      }
+      return;
+    }
+    try {
+      const items = await readdir(dir, { withFileTypes: true });
+      await Promise.all(items.map(async (item) => {
+        // Пропускаем скрытые файлы, node_modules и dist
+        if (
+          item.name.startsWith('.') ||
+          item.name === 'node_modules' ||
+          item.name === 'dist' ||
+          item.name === 'build'
+        ) {
+          return;
+        }
+        const fullPath = join(dir, item.name);
+        if (item.isDirectory()) {
+          await scanDirectory(fullPath, depth + 1);
+        } else {
+          const fileExt = extname(item.name).toLowerCase();
+          if (extensions.includes(fileExt)) {
+            files.push(fullPath);
+          }
+        }
+      }));
+    } catch (error) {
+      // Тихо пропускаем папки без доступа
+      if (verbose) {
+        console.warn(`⚠️  Cannot read directory ${dir}:`, (error as Error).message);
+      }
+    }
+  }
+  try {
+    await access(folderPath);
+    await scanDirectory(folderPath);
+  } catch (error) {
+    if (verbose) {
+      console.warn(`⚠️  Folder not found: ${folderPath}`);
+    }
+  }
+  return files;
+}
+/**
+ * Находит используемые ID иконок в КОНКРЕТНОМ файле
+ * @param filePath - Путь к файлу для сканирования
+ * @param verbose - Подробное логирование
+ * @returns Set используемых ID иконок в этом файле
+ */
+async function findUsedIconIdsInFile(
+  filePath: string,
+  verbose = false
+): Promise<Set<string>> {
+  const usedIds = new Set<string>();
+  const ICON_USAGE_PATTERNS = [
+    /<use[^>]+(?:xlink:)?href\s*=\s*["']#([a-zA-Z][\w-]*)["']/gi,
+    /(?:href|xlink:href)\s*[:=]\s*["']#([a-zA-Z][\w-]*)["']/gi
+  ];
+  try {
+    const content = await readFile(filePath, 'utf-8');
+    for (const pattern of ICON_USAGE_PATTERNS) {
+      pattern.lastIndex = 0;
+      let match;
+      while ((match = pattern.exec(content)) !== null) {
+        const iconId = match[1];
+        if (iconId && /^[a-zA-Z][\w-]*$/.test(iconId)) {
+          usedIds.add(iconId);
+        }
+      }
+    }
+  } catch (error) {
+    if (verbose) {
+      console.warn(`⚠️  Cannot read file ${basename(filePath)}:`, (error as Error).message);
+    }
+  }
+  return usedIds;
+}
+/**
+ * Находит все используемые ID иконок в файлах проекта
+ * Паттерны поиска:
+ * - <use href="#iconId"> (HTML)
+ * - <use xlink:href="#iconId"> (старый синтаксис SVG)
+ * - href: "#iconId" (в JS объектах)
+ * - href="#iconId" (в JS строках)
+ *
+ * @param projectRoot - Корень проекта
+ * @param scanExtensions - Расширения файлов для сканирования
+ * @param verbose - Подробное логирование
+ * @returns Set используемых ID иконок
+ */
+async function findUsedIconIds(
+  projectRoot: string,
+  scanExtensions: string[],
+  verbose = false
+): Promise<Set<string>> {
+  const usedIds = new Set<string>();
+  // Предкомпилированные RegExp паттерны для поиска использования иконок
+  const ICON_USAGE_PATTERNS = [
+    // HTML: <use href="#iconId"> или <use xlink:href="#iconId">
+    /<use[^>]+(?:xlink:)?href\s*=\s*["']#([a-zA-Z][\w-]*)["']/gi,
+    // JS/TS: href="#iconId" или href: "#iconId" (в SVG контексте)
+    /(?:href|xlink:href)\s*[:=]\s*["']#([a-zA-Z][\w-]*)["']/gi
+  ];
+  try {
+    // Находим все файлы для сканирования
+    const filesToScan = await findFilesByExtensions(
+      projectRoot,
+      scanExtensions,
+      { verbose }
+    );
+    if (verbose) {
+      console.log(`🔍 Tree-shaking: scanning ${filesToScan.length} files for icon usage...`);
+    }
+    // Параллельно читаем и анализируем все файлы
+    await Promise.all(filesToScan.map(async (filePath) => {
+      try {
+        const content = await readFile(filePath, 'utf-8');
+        // Применяем все паттерны поиска
+        for (const pattern of ICON_USAGE_PATTERNS) {
+          // Сбрасываем lastIndex для глобальных RegExp
+          pattern.lastIndex = 0;
+          let match;
+          while ((match = pattern.exec(content)) !== null) {
+            const iconId = match[1];
+            // Дополнительная валидация: ID должен быть корректным
+            if (iconId && /^[a-zA-Z][\w-]*$/.test(iconId)) {
+              usedIds.add(iconId);
+            }
+          }
+        }
+      } catch (error) {
+        // Тихо пропускаем файлы, которые не удалось прочитать
+        if (verbose) {
+          console.warn(`⚠️  Cannot read file ${basename(filePath)}:`, (error as Error).message);
+        }
+      }
+    }));
+    if (verbose && usedIds.size > 0) {
+      console.log(`✅ Tree-shaking: found ${usedIds.size} used icons:`, Array.from(usedIds).sort());
+    }
+    return usedIds;
+  } catch (error) {
+    console.error('❌ Tree-shaking scan failed:', (error as Error).message);
+    return usedIds;
+  }
+}
+/**
+ * Фильтрует SVG файлы, оставляя только те, которые используются в коде
+ * @param allSvgFiles - Все найденные SVG файлы
+ * @param usedIconIds - Set ID иконок, которые используются
+ * @param idPrefix - Префикс для ID символов
+ * @param verbose - Подробное логирование
+ * @returns Массив только используемых SVG файлов
+ */
+function filterUsedSvgFiles(
+  allSvgFiles: string[],
+  usedIconIds: Set<string>,
+  idPrefix: string,
+  verbose = false
+): string[] {
+  // Если не нашли используемые иконки - включаем все (fail-safe)
+  if (usedIconIds.size === 0) {
+    if (verbose) {
+      console.warn('⚠️  Tree-shaking: no icon usage found, including all icons (fail-safe)');
+    }
+    return allSvgFiles;
+  }
+  const filteredFiles = allSvgFiles.filter(filePath => {
+    const symbolId = generateSymbolId(filePath, idPrefix);
+    return usedIconIds.has(symbolId);
+  });
+  if (verbose) {
+    const removed = allSvgFiles.length - filteredFiles.length;
+    const savedPercent = allSvgFiles.length > 0
+      ? ((removed / allSvgFiles.length) * 100).toFixed(1)
+      : '0';
+    console.log(
+      `🌲 Tree-shaking: ${allSvgFiles.length} total → ${filteredFiles.length} used ` +
+      `(removed ${removed} unused, ${savedPercent}% reduction)`
+    );
+    // Показываем какие иконки были исключены
+    if (removed > 0) {
+      const unusedFiles = allSvgFiles.filter(f => !filteredFiles.includes(f));
+      const unusedNames = unusedFiles.map(f => basename(f, '.svg'));
+      console.log(`   Unused icons: ${unusedNames.join(', ')}`);
+    }
+  }
+  return filteredFiles;
+}
 /**
  * Асинхронно генерирует быстрый хеш на основе mtime файлов
  */
-async function generateHashFromMtime(svgFiles: string[]): Promise<string> {
+async function generateHashFromMtime(svgFiles: string[], pluginState?: { parseCache?: Map<string, ParsedSVG> }): Promise<string> {
   const hash = createHash('md5');
   // Параллельно получаем stat для всех файлов
@@ -228,10 +572,12 @@ async function generateHashFromMtime(svgFiles: string[]): Promise<string> {
       const stats = await stat(file);
       hash.update(`${file}:${stats.mtimeMs}`);
     } catch (error) {
-      // Файл удален или недоступен - удаляем из кэша
-      for (const key of parseCache.keys()) {
-        if (key.startsWith(file + ':')) {
-          parseCache.delete(key);
+      // Файл удален или недоступен - удаляем из кэша, если он доступен
+      if (pluginState?.parseCache) {
+        for (const key of pluginState.parseCache.keys()) {
+          if (key.startsWith(file + ':')) {
+            pluginState.parseCache.delete(key);
+          }
         }
       }
     }
@@ -316,9 +662,70 @@ function createLogger(options: Required<SvgSpriteOptions>) {
   };
 }
+/**
+ * Валидирует путь к папке с иконками против path traversal атак
+ * Предотвращает чтение файлов за пределами проекта
+ *
+ * @param userPath - путь от пользователя (относительный или абсолютный)
+ * @param projectRoot - корень проекта (из Vite config)
+ * @returns безопасный абсолютный путь
+ * @throws {Error} если путь небезопасен (выходит за пределы проекта)
+ *
+ * @security
+ * Защищает от:
+ * - Path traversal атак (../../../etc/passwd)
+ * - Абсолютных путей к системным папкам (/etc, C:\Windows)
+ * - Символических ссылок за пределы проекта
+ *
+ * @example
+ * validateIconsPath('src/icons', '/project') // → '/project/src/icons' ✅
+ * validateIconsPath('../../../etc', '/project') // → Error ❌
+ * validateIconsPath('/etc/passwd', '/project') // → Error ❌
+ */
+function validateIconsPath(userPath: string, projectRoot: string): string {
+  // 1. Проверяем базовую валидность пути
+  if (!userPath || typeof userPath !== 'string') {
+    throw new Error('iconsFolder must be a non-empty string');
+  }
+  // 2. Резолвим путь относительно корня проекта
+  const absolutePath = resolve(projectRoot, userPath);
+  // 3. Вычисляем относительный путь от корня проекта
+  const relativePath = relative(projectRoot, absolutePath);
+  // 4. SECURITY CHECK: Проверяем path traversal
+  // Если путь начинается с '..' или является абсолютным после relative(),
+  // значит он выходит за пределы projectRoot
+  if (relativePath.startsWith('..') || isAbsolute(relativePath)) {
+    throw new Error(
+      `\n❌ Security Error: Invalid iconsFolder path\n\n` +
+      `  Provided path: "${userPath}"\n` +
+      `  Resolved to: "${absolutePath}"\n` +
+      `  Project root: "${projectRoot}"\n\n` +
+      `  ⚠️  The path points outside the project root directory.\n` +
+      `  This is not allowed for security reasons (path traversal prevention).\n\n` +
+      `  ✅ Valid path examples:\n` +
+      `     - 'src/icons'           → relative to project root\n` +
+      `     - 'assets/svg'          → relative to project root\n` +
+      `     - './public/icons'      → explicit relative path\n` +
+      `     - 'src/nested/icons'    → nested directories OK\n\n` +
+      `  ❌ Invalid path examples:\n` +
+      `     - '../other-project'    → outside project (path traversal)\n` +
+      `     - '../../etc'           → system directory access attempt\n` +
+      `     - '/absolute/path'      → absolute paths not allowed\n` +
+      `     - 'C:\\\\Windows'          → absolute Windows path\n\n` +
+      `  💡 Tip: All paths must be inside your project directory.`
+    );
+  }
+  // 5. Нормализуем для кроссплатформенности (используем Vite утилиту)
+  return normalizePath(absolutePath);
+}
 /**
  * Vite SVG Sprite Plugin с опциональной SVGO оптимизацией
- * @version 1.1.7
+ * @version 1.1.9
  * @param userOptions - пользовательские опции
  */
 export default function svgSpritePlugin(userOptions: SvgSpriteOptions = {}): Plugin {
@@ -327,8 +734,24 @@ export default function svgSpritePlugin(userOptions: SvgSpriteOptions = {}): Plu
   const options: Required<SvgSpriteOptions> = { ...defaultOptions, ...userOptions };
   const logger = createLogger(options);
-  // Нормализуем путь к папке один раз для кроссплатформенности
-  const normalizedIconsFolder = options.iconsFolder.replace(/\\/g, '/');
+  // ✅ NEW: Create filter for tree-shaking file scanning
+  const scanFilter = createFilter(
+    options.scanExtensions.map(ext => `**/*${ext}`),
+    [
+      '**/node_modules/**',
+      '**/dist/**',
+      '**/build/**',
+      '**/.git/**',
+      '**/coverage/**'
+    ]
+  );
+  // ===== БЕЗОПАСНОСТЬ: Валидация пути =====
+  // Путь к иконкам будет валидирован в configResolved хуке
+  // после получения viteRoot из конфигурации
+  let viteRoot = process.cwd(); // Дефолтное значение (будет перезаписано)
+  let validatedIconsFolder = ''; // Безопасный путь после валидации
+  let command: 'serve' | 'build' = 'serve'; // Команда Vite (serve/build)
   // ===== ИНКАПСУЛИРОВАННОЕ СОСТОЯНИЕ ПЛАГИНА =====
   const pluginState = {
@@ -338,7 +761,9 @@ export default function svgSpritePlugin(userOptions: SvgSpriteOptions = {}): Plu
     svgFiles: [] as string[],
     spriteContent: '',
     lastHash: '',
-    regenerateSprite: undefined as ReturnType<typeof debounce> | undefined
+    regenerateSprite: undefined as ReturnType<typeof debounce> | undefined,
+    // Кэш спрайтов для каждой HTML страницы (per-page tree-shaking)
+    perPageSprites: new Map<string, string>()
   };
   // ===== ВНУТРЕННИЕ ФУНКЦИИ С ДОСТУПОМ К СОСТОЯНИЮ =====
@@ -371,7 +796,7 @@ export default function svgSpritePlugin(userOptions: SvgSpriteOptions = {}): Plu
     try {
       const originalSize = Buffer.byteLength(content);
-      const result = svgo.optimize(content, config || getDefaultSVGOConfig());
+      const result = svgo.optimize(content, config || getDefaultSVGOConfig(options.currentColor));
       const optimizedSize = Buffer.byteLength(result.data);
       if (verbose) {
@@ -397,11 +822,12 @@ export default function svgSpritePlugin(userOptions: SvgSpriteOptions = {}): Plu
       const cacheKey = `${filePath}:${stats.mtimeMs}:${options.svgoOptimize ? '1' : '0'}`;
+      // ✅ Используем инкапсулированный кэш из pluginState
       if (pluginState.parseCache.has(cacheKey)) {
         return pluginState.parseCache.get(cacheKey)!;
       }
-      const content = await readFile(filePath, 'utf-8');
+      const content = await readFileSafe(filePath);
       if (!content.trim()) {
         if (retryCount < 3) {
@@ -412,7 +838,7 @@ export default function svgSpritePlugin(userOptions: SvgSpriteOptions = {}): Plu
       }
       if (!content.includes('<svg')) {
-        throw new Error('File does not contain <svg> tag');
+        throw new Error('File does not contain <svg> tag. Is this a valid SVG file?');
       }
       const viewBoxMatch = content.match(/viewBox\s*=\s*["']([^"']+)["']/i);
@@ -424,7 +850,10 @@ export default function svgSpritePlugin(userOptions: SvgSpriteOptions = {}): Plu
       const svgContentMatch = content.match(/<svg[^>]*>(.*?)<\/svg>/is);
       if (!svgContentMatch) {
-        throw new Error('Could not extract content between <svg> tags');
+        throw new Error(
+          'Could not extract content between <svg> tags. ' +
+          'Make sure the file has proper opening and closing <svg> tags.'
+        );
       }
       let svgContent = svgContentMatch[1];
@@ -445,8 +874,10 @@ export default function svgSpritePlugin(userOptions: SvgSpriteOptions = {}): Plu
         content: svgContent.trim()
       };
+      // ✅ Сохраняем в инкапсулированный кэш
       pluginState.parseCache.set(cacheKey, result);
+      // LRU-like behavior: удаляем старейшую запись при переполнении
       if (pluginState.parseCache.size > MAX_CACHE_SIZE) {
         const firstKey = pluginState.parseCache.keys().next().value;
         if (firstKey) {
@@ -459,7 +890,8 @@ export default function svgSpritePlugin(userOptions: SvgSpriteOptions = {}): Plu
       if (options.verbose) {
         logger.error(
           `\n❌ Failed to parse SVG: ${basename(filePath)}\n` +
-          `   Reason: ${(error as Error).message}\n`
+          `   Reason: ${(error as Error).message}\n` +
+          `   Suggestion: Check if the file is a valid SVG and not corrupted.\n`
         );
       }
       return null;
@@ -467,27 +899,34 @@ export default function svgSpritePlugin(userOptions: SvgSpriteOptions = {}): Plu
   }
   async function buildSpriteFromFilesInternal(svgFiles: string[]): Promise<string> {
+    // ✅ OPTIMIZED: Parse all files in parallel (2-3x faster for 50+ icons)
+    const parsedResults = await Promise.all(
+      svgFiles.map(filePath => parseSVGCachedInternal(filePath))
+    );
     const symbols: string[] = [];
     const symbolIds = new Set<string>();
     const duplicates: Array<{ id: string; file: string }> = [];
-    for (const filePath of svgFiles) {
-      const parsed = await parseSVGCachedInternal(filePath);
-      if (parsed) {
-        const symbolId = generateSymbolId(filePath, options.idPrefix);
-        if (symbolIds.has(symbolId)) {
-          duplicates.push({ id: symbolId, file: filePath });
-          if (options.verbose) {
-            logger.warn(`⚠️  Duplicate symbol ID detected: ${symbolId} from ${basename(filePath)}`);
-          }
-          continue;
+    // Sequential processing of results (very fast)
+    for (let i = 0; i < svgFiles.length; i++) {
+      const parsed = parsedResults[i];
+      if (!parsed) continue; // Failed to parse
+      const filePath = svgFiles[i];
+      const symbolId = generateSymbolId(filePath, options.idPrefix);
+      if (symbolIds.has(symbolId)) {
+        duplicates.push({ id: symbolId, file: filePath });
+        if (options.verbose) {
+          logger.warn(`⚠️  Duplicate symbol ID detected: ${symbolId} from ${basename(filePath)}`);
         }
-        symbolIds.add(symbolId);
-        const symbol = generateSymbol(symbolId, parsed.content, parsed.viewBox);
-        symbols.push(symbol);
+        continue;
       }
+      symbolIds.add(symbolId);
+      const symbol = generateSymbol(symbolId, parsed.content, parsed.viewBox);
+      symbols.push(symbol);
     }
     if (duplicates.length > 0 && options.verbose) {
@@ -501,9 +940,51 @@ export default function svgSpritePlugin(userOptions: SvgSpriteOptions = {}): Plu
   }
   return {
-    name: 'svg-sprite',
+    name: 'vite-svg-sprite-generator-plugin',
+    // ✅ NEW: Add enforce for explicit plugin ordering
+    enforce: 'pre',
+    // ✅ NEW: Add apply for conditional execution
+    apply(config, { command: cmd }) {
+      // Skip in preview mode - dist is already built
+      if (cmd === 'serve' && config.mode === 'production') {
+        if (options.verbose) {
+          console.log('🚀 Preview mode detected: skipping SVG sprite generation');
+        }
+        return false;
+      }
+      return true;
+    },
+    // ===== ХУК: Получение и валидация путей =====
+    configResolved(resolvedConfig: ResolvedConfig) {
+      // Получаем точный root из Vite конфигурации
+      viteRoot = resolvedConfig.root || process.cwd();
+      // Определяем команду
+      command = resolvedConfig.command || 'serve';
+      // ✅ REMOVED: isPreview, isLikelyPreview logic (handled by apply() now)
+      try {
+        // Валидируем путь к иконкам против path traversal атак
+        validatedIconsFolder = validateIconsPath(options.iconsFolder, viteRoot);
+        if (options.verbose) {
+          logger.log(`🏠 Project root: ${viteRoot}`);
+          logger.log(`📁 Validated icons folder: ${validatedIconsFolder}`);
+        }
+      } catch (error) {
+        // Критическая ошибка безопасности - останавливаем сборку
+        logger.error((error as Error).message);
+        throw error;
+      }
+    },
     async buildStart() {
+      // ✅ REMOVED: isLikelyPreview check (handled by apply() now)
       try {
         logger.log('🎨 SVG Sprite Plugin: Starting sprite generation...');
@@ -514,22 +995,62 @@ export default function svgSpritePlugin(userOptions: SvgSpriteOptions = {}): Plu
           }
         }
-        pluginState.svgFiles = await findSVGFiles(options.iconsFolder);
+        // Находим все SVG файлы (используем валидированный путь)
+        const allSvgFiles = await findSVGFiles(validatedIconsFolder, { verbose: options.verbose });
-        if (pluginState.svgFiles.length === 0) {
-          logger.warn(`⚠️  No SVG files found in ${options.iconsFolder}`);
+        if (allSvgFiles.length === 0) {
+          logger.warn(`⚠️  No SVG files found in ${validatedIconsFolder}`);
           pluginState.spriteContent = generateSprite([], options);
           return;
         }
-        logger.log(`📁 Found ${pluginState.svgFiles.length} SVG files`);
+        logger.log(`📁 Found ${allSvgFiles.length} SVG files`);
+        // 🌲 TREE-SHAKING: Фильтруем только используемые иконки (только в production)
+        let svgFilesToInclude = allSvgFiles;
+        if (options.treeShaking && command === 'build') {
+          logger.log('🌲 Tree-shaking enabled (production mode)');
+          const usedIconIds = await findUsedIconIds(
+            viteRoot,
+            options.scanExtensions,
+            options.verbose
+          );
+          svgFilesToInclude = filterUsedSvgFiles(
+            allSvgFiles,
+            usedIconIds,
+            options.idPrefix,
+            options.verbose
+          );
+          // Если после фильтрации не осталось файлов - используем все (fail-safe)
+          if (svgFilesToInclude.length === 0) {
+            logger.warn('⚠️  Tree-shaking found no used icons, including all (fail-safe)');
+            svgFilesToInclude = allSvgFiles;
+          }
+        } else if (options.treeShaking && command === 'serve') {
+          // В dev режиме tree-shaking отключен для удобства разработки
+          if (options.verbose) {
+            logger.log('ℹ️  Tree-shaking skipped in dev mode (all icons included)');
+          }
+        }
+        pluginState.svgFiles = svgFilesToInclude;
         pluginState.spriteContent = await buildSpriteFromFilesInternal(pluginState.svgFiles);
-        pluginState.lastHash = await generateHashFromMtime(pluginState.svgFiles);
+        pluginState.lastHash = await generateHashFromMtime(pluginState.svgFiles, pluginState);
         const iconCount = getIconCount(pluginState.spriteContent);
         const spriteSize = (Buffer.byteLength(pluginState.spriteContent) / 1024).toFixed(2);
         logger.log(`✅ Generated sprite with ${iconCount} icons (${spriteSize} KB)`);
+        // Дополнительная статистика для tree-shaking
+        if (options.treeShaking && command === 'build' && svgFilesToInclude.length < allSvgFiles.length) {
+          const saved = allSvgFiles.length - svgFilesToInclude.length;
+          const savedPercent = ((saved / allSvgFiles.length) * 100).toFixed(1);
+          logger.log(`💾 Tree-shaking saved ${saved} icons (${savedPercent}% reduction)`);
+        }
       } catch (error) {
         logger.error('❌ Failed to generate sprite:', error);
         pluginState.spriteContent = generateSprite([], options);
@@ -540,15 +1061,53 @@ export default function svgSpritePlugin(userOptions: SvgSpriteOptions = {}): Plu
     transformIndexHtml: {
       order: 'pre',
-      handler(html: string, ctx: IndexHtmlTransformContext) {
-        if (!pluginState.spriteContent) {
+      async handler(html: string, ctx: IndexHtmlTransformContext) {
+        // ✅ FIXED: Use ctx.filename (ctx.path doesn't exist in IndexHtmlTransformContext)
+        const htmlPath = ctx.filename || '';
+        // Per-page tree-shaking: создаем отдельный спрайт для каждой страницы
+        let spriteToInject = pluginState.spriteContent;
+        if (options.treeShaking && command === 'build' && htmlPath) {
+          // Проверяем кэш
+          if (pluginState.perPageSprites.has(htmlPath)) {
+            spriteToInject = pluginState.perPageSprites.get(htmlPath)!;
+          } else {
+            // Находим иконки, используемые только в этом HTML файле
+            const htmlFilePath = join(viteRoot, htmlPath);
+            const usedInThisPage = await findUsedIconIdsInFile(htmlFilePath, options.verbose);
+            if (usedInThisPage.size > 0) {
+              // Фильтруем SVG файлы для этой страницы
+              const svgForThisPage = filterUsedSvgFiles(
+                pluginState.svgFiles,
+                usedInThisPage,
+                options.idPrefix,
+                false // Не логируем для каждой страницы
+              );
+              // Генерируем спрайт для этой страницы
+              spriteToInject = await buildSpriteFromFilesInternal(svgForThisPage);
+              pluginState.perPageSprites.set(htmlPath, spriteToInject);
+              if (options.verbose) {
+                logger.log(
+                  `📄 ${basename(htmlPath)}: ${usedInThisPage.size} icons ` +
+                  `[${Array.from(usedInThisPage).sort().join(', ')}]`
+                );
+              }
+            }
+          }
+        }
+        if (!spriteToInject) {
           return [];
         }
         const isDev = ctx.server !== undefined;
         const tags: any[] = [];
-        const spriteInner = pluginState.spriteContent.replace(/<svg[^>]*>|<\/svg>/gi, '').trim();
+        const spriteInner = spriteToInject.replace(/<svg[^>]*>|<\/svg>/gi, '').trim();
         tags.push({
           tag: 'svg',
@@ -659,19 +1218,23 @@ if (import.meta.hot) {
     configureServer(server: ViteDevServer) {
       if (!options.watch) return;
-      server.watcher.add(options.iconsFolder);
+      // Отслеживаем изменения в папке с иконками (используем валидированный путь)
+      server.watcher.add(validatedIconsFolder);
+      // Функция для регенерации и отправки обновлений через HMR
       pluginState.regenerateSprite = debounce(async () => {
         try {
           logger.log('🔄 SVG files changed, regenerating sprite...');
-          const newSvgFiles = await findSVGFiles(options.iconsFolder);
+          // Перегенерируем спрайт (используем валидированный путь)
+          const newSvgFiles = await findSVGFiles(validatedIconsFolder, { verbose: options.verbose });
           if (newSvgFiles.length === 0) {
-            logger.warn(`⚠️  No SVG files found in ${options.iconsFolder}`);
+            logger.warn(`⚠️  No SVG files found in ${validatedIconsFolder}`);
             pluginState.spriteContent = generateSprite([], options);
             pluginState.lastHash = '';
+            // Отправляем пустой спрайт через HMR
             server.ws.send({
               type: 'custom',
               event: 'svg-sprite-update',
@@ -680,13 +1243,15 @@ if (import.meta.hot) {
             return;
           }
-          const newHash = await generateHashFromMtime(newSvgFiles);
+          const newHash = await generateHashFromMtime(newSvgFiles, pluginState);
+          // Проверяем, изменился ли контент
           if (newHash !== pluginState.lastHash) {
             pluginState.svgFiles = newSvgFiles;
             pluginState.spriteContent = await buildSpriteFromFilesInternal(pluginState.svgFiles);
             pluginState.lastHash = newHash;
+            // Отправляем обновление через HMR вместо полной перезагрузки
             server.ws.send({
               type: 'custom',
               event: 'svg-sprite-update',
@@ -697,13 +1262,15 @@ if (import.meta.hot) {
           }
         } catch (error) {
           logger.error('❌ Failed to regenerate sprite:', error);
+          // В случае ошибки делаем полную перезагрузку
           server.ws.send({ type: 'full-reload', path: '*' });
         }
       }, options.debounceDelay);
+      // Отслеживаем все типы изменений: change, add, unlink
       const handleFileEvent = (file: string) => {
-        const normalizedFile = file.replace(/\\/g, '/');
-        if (normalizedFile.endsWith('.svg') && normalizedFile.includes(normalizedIconsFolder)) {
+        const normalizedFile = normalizePath(file);
+        if (normalizedFile.endsWith('.svg') && normalizedFile.includes(validatedIconsFolder)) {
           pluginState.regenerateSprite!();
         }
       };
@@ -712,15 +1279,21 @@ if (import.meta.hot) {
       server.watcher.on('add', handleFileEvent);
       server.watcher.on('unlink', handleFileEvent);
+      // Cleanup при закрытии сервера
       server.httpServer?.on('close', () => {
+        // Отписываемся от событий watcher для предотвращения утечки памяти
         server.watcher.off('change', handleFileEvent);
         server.watcher.off('add', handleFileEvent);
         server.watcher.off('unlink', handleFileEvent);
+        // Отменяем pending debounce
         pluginState.regenerateSprite?.cancel();
+        // Очищаем кэш
         pluginState.parseCache.clear();
       });
-      logger.log(`👀 Watching ${options.iconsFolder} for SVG changes (HMR enabled)`);
+      logger.log(`👀 Watching ${validatedIconsFolder} for SVG changes (HMR enabled)`);
     },
     buildEnd() {