Meine Damen und Herren, habe ich Ihre Aufmerksamkeit?

Trotzdem musst du natürlich dafür sorgen, dass außerhalb der Sandbox kein ausführbarer JavaScript-Code landet. XSS ist dein Stichwort, dazu solltest du jede Menge Lektüre finden.

Lektüre ja, aber kein Beispiel zum Einrichten einer Sandbox wo usergeneriertes JS schadenfrei ausgeführt werden kann. Hast Du ein Beispiel?

Zum Beispiel: Google caja oder Crockfords ADsafe.

Das Thema wurde auch bei Stackoverflow schon häufiger diskutierte, siehe auch die verwandten Beiträge.

Soweit ich XSS verstehe, wird das nur dann richtig böse, wenn die Location einen scheme://auth/path hat like http://example.com.

Wenn es einem Angreifer gelingt JavaScript-Code in deine Seite einzuschleusen, dann ist immer richtig kritisch. Egal über welche Adresse die Nutzer oder Angreifer auf deine Seite gelangt sind.