Sto pianificando uno strumento che consentirà agli utenti di pubblicare raccolte dei loro scritti per il consumo di pubblicazione.
Qualsiasi modifica del contenuto o delle impostazioni dell'account verrà eseguita tramite un server di gestione / amministrazione sicuro foo.com
.
Quando gli utenti scelgono di pubblicare una raccolta, potranno scegliere un sottodominio da un TLD diverso, riservato specificamente per il contenuto pubblicato: <subdomain>.foo.pub
.
Vorrei offrire agli utenti la possibilità di inserire javascript personalizzati nell'HTML pubblicato. Ad esempio, potrebbero modificare il tema o includere commenti di terze parti, ad esempio.
Poiché le raccolte pubblicate sono sul sottodominio di un TLD completamente separato dal server di gestione, penso che gli utenti sarebbero protetti dagli attacchi XSS.
Quali altri rischi, se ce ne sono, spiegherei i lettori consentendo l'esecuzione personalizzata di JS?