Я не знаю, действительно ли это действительно опасно, но, поскольку Google делает это с помощью своего HTML и Javascript, которые обслуживаются из сценария Google Apps (как объясняется here, они используют Caja Compiler для «дезинфекции и песочницы HTML»).Почему это опасно для создания созданного пользователем HTML или Javascript?
Мне было интересно, было ли что-нибудь плохое, что могло случиться, если я разрешу пользователям редактировать HTML с шаблонами Jinja2, давая им доступ к некоторым переменным на стороне сервера, которые будут отображаться через некоторое время. Что плохого может произойти?
Обс: Мне все равно, будет ли пользовательский HTML-код уродливым или уничтожит остальную часть страницы.
Если сайт не предоставляет пользователям никакой полезной информации, он не собирает никакой информации от пользователей, не имеет надежного кода на стороне сервера (то есть без SQL-инъекции) и имеет явно ужасное доменное имя, на самом деле не так много проблемы ...:) –