私はCodeMirrorを使用してJSFiddleに似たプロジェクトを作成しています。 CodeMirrorからthis example fileを参照すると、私はテキストエリア(外部のJavaScriptファイルのスクリプトタグを含む)から完全なHTMLコンテンツをレンダリングしています。textareaはCodeMirrorを使ってiframe - securityの内容を設定します
ローカルにはうまくいきますが、デプロイする前に、完全なHTMLページをユーザー定義の入力からレンダリングするセキュリティ上の脅威はありませんか?上記の例はセキュリティの脅威ではありませんか?