Безопасность и динамические фреймы
 

Есть легкий «полигон». Смысл в том, что написаный html в textarea загружается в ифрейм:

<html>
<head>
</head>
<body>
<div class="a" onClick="cvf();">&gt;&gt;&gt;Посмотреть,&nbsp;что&nbsp;получилось&gt;&gt;&gt;</div>
<form action="" name="cod">
<textarea>
</textarea>
</form>
<iframe src="javascript:parent.document.cod.elements[0].value" id="mf"></iframe>
<script type="text/javascript">
function cvf(){
document.getElementById('mf').contentWindow.location.reload();
}
</script>
</body>
</html>

Вопрос: это же опасно? Если я этот код вставлю на свой сайт, человек сможет делать запросы к серверу избегая Same origin policy. Если это опасно, то как можно защититься, если не опасно, то почему никто так не делает?

Он сможет вставить любой код у себя в браузере. А у себя в браузере он и так через консоль что угодно на вашем сайте сделать может.

Может потому, что это просто ужасно?

извините, не увидел никакой опасности. что в этом фрейме такого страшного?

А зачем это делать?

Nekromancer,
Например здесь запускаемый код, можно так сдеделать, не будет обращения к серверу, фрейм будет появляться мгновенно. Почему именно, это плохо?

Kolyaj,
ну да, точно. не подумал...

qwertyuiop10,
Я не понимаю ваш язык.

Здесь написанный кем-то код запускается у других пользователей. В вашем примере такого нет.

Nekromancer,
На этом сайте есть возможность вставлять запускаемый код. Почему бы её не реализовать способом, указанным мной? Небыло бы лишнего обращения к серверу и код был бы проще. Ещё - xiper.net, в справочнике css есть полигон внизу страници, описывающей какое-либо свойство. Почему его не реализовать таким образом? Я думаю, что если так не делают, значит есть какие-то существенные недостатки. Какие?