Esiste il rischio di consentire agli utenti di creare i propri URL

Dipende dalla convalida in vigore per quanto riguarda il nome utente.

Se già

• autorizza i caratteri nel nome utente solo alfanumerici
• limita la dimensione massima dei nomi utente
• verifica l'unicità del nome utente
• assicurati che nessun nome utente possa corrispondere all'URL esistente (dipende dal tuo sito, forse questo non è necessario .. È se hai per esempio qualcosa come /default/shop o /welcome/shop )

, non vedo molti rischi:)

Consenti agli utenti di personalizzare il proprio negozio? Se possono modificare HTML, potrebbero essere in grado di includere JavaScript, che consentirebbe un attacco di scripting cross-site. Per questo motivo, molti servizi hanno invece URL come: link

Poiché Let's Encrypt consente agli amministratori del server di convalidare il dominio utilizzando un endpoint /.well-known/acme-challenge , un utente malintenzionato potrebbe registrare un nome utente .well-known e impostare un negozio con il nome acme-challenge .

È impossibile conoscere tutti i meccanismi di convalida, quindi opterei per la soluzione già proposta da @ paj28, che consiste nel fornire agli utenti un URL sotto forma di $username.example.com .

Assicurati che le persone non possano commettere furti di identità usando il tuo sistema o creando account contraffatti. Quello che voglio dire è qualcosa come

example.com/amazon

Le persone potrebbero utilizzare nomi di marchi di terze parti, ad esempio. Questo è illegale in molti paesi e può metterti nei guai di conseguenza.