Tak mnie jedna rzecz nurtuje, czy można wykorzystać w jakiś sposób fakt same origin policy wewnątrz iframe? Albo jakieś inne zagrożenie?
Strona dodaje dynamicznie iframe po wykonaniu akcji. W ramce znajduje się kod przetworzony przez parser JS (z textarea) w którym można wykonywać chociażby href=java script:. Oczywiście po wysłaniu formularza do serwera całość z pierwotnego textarea jest przetwarzana w PHP i wyświetlany w dalszym etapie na stronie jest już przeczyszczony kod.
Czyli, użytkownik wprowadza sobie do textarea kod, kod ten trafia do iframe i na tym etapie w iframe może wylądować niebezpieczny kod, dalej jest czyszczony i wyświetlany już bezpieczny.
Pełna wersja: [JavaScript]Bezpieczeństwo kodu w iframe
Jeśli to jest same origin, to de facto zarówno strona ma pełny dostęp do ramki, jak i ramka do strony. Zatem wykorzystać to można łatwo.
Ok, a co można by tym zaszkodzić przykładowo?
Jeśli zawartość ramki jest przepuszczona przez parser JS i wyświetlona, to jak dla mnie możliwości jest tyle, ile dałoby bezpośrednie przepuszczenie kodu przez parser 
Jeśli da się wstawiać HTML i tag script, to mamy możliwości do wyboru do koloru.
Jeśli da się wstawiać HTML i tag script, to mamy możliwości do wyboru do koloru.
Nie, w drugą stronę. Zawartość textarea ląduje w ramce i wcześniej przechodzi przez https://github.com/borgar/textile-js
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.