Наоборот, из-за содержания политики безопасности, вы можете не вводить JavaScript в большинстве браузеров, что значительно уменьшает поверхность атаки. К сожалению, вам Можно придать стиль и HTML, который, если вы когда-либо видели Reddit или одну из этих демонстрационных сайтов CSS вы знаете, что он все еще может измениться достаточно страницы, чтобы убедить пользователя сделать что-то плохое. Но опять же, это не будет автоматическим. Тем не менее вопрос, но не так плохо, как вы сделаете это, чтобы быть. Они действительно должны отключить встроенный стиль после того, как они это исправить.