Есть легкий «полигон». Смысл в том, что написаный html в textarea загружается в ифрейм:
<html>
<head>
</head>
<body>
<div class="a" onClick="cvf();">>>>Посмотреть, что получилось>>></div>
<form action="" name="cod">
<textarea>
</textarea>
</form>
<iframe src="javascript:parent.document.cod.elements[0].value" id="mf"></iframe>
<script type="text/javascript">
function cvf(){
document.getElementById('mf').contentWindow.location.reload();
}
</script>
</body>
</html>
Вопрос: это же опасно? Если я этот код вставлю на свой сайт, человек сможет делать запросы к серверу избегая Same origin policy. Если это опасно, то как можно защититься, если не опасно, то почему никто так не делает?