y que harias tu si quieres pasar javascript, pasarlo y ya esta,la CUESTION seria:

mis usuarios se registrarian y pagarian x el servicio de tener una web y luego ellos pueden modificar la web como ellos kieran, k inconvenientes ves hay:

Edito: me puedes poner algun ejemplo

y komo lo hacen los grandes de la industria como arsys para manejar estas cosas?

tambien he visto que utilizan otro dominio, que no es el suyo komo x ejemplo si es dinahosting.com la empresa te redireccionan a creowebs.com x poner un ejemplo y eso pasa con todas las empresas que he visto,puede ser el seo de su web lo que no quieren perder en caso de algun fallo tecnico, es que veo algo hay en eso

ok mirare lo de los tokens por sesion para hacer mas dificil el falsificar peticiones web.

Me gustaria que me ayudaras un poco en esto,asi ven mas 4 ojos k 2, estoy muchas veces x aki x el foro,asi k si me ves y me puedes contestar me harias un favor,hoy x mi,mañana x ti,gracias

Ya veo  

Mira, ahora mismo es una tontería intentar "hackear" tu web. Mas que nada porque es un estupido echo.. Tu sigue implementando de este modo (sin preocuparte de nada) y cuando la lanzes.. veremos si tus clientes (que tendrán que pagar) quedan satisfechos con su inversión...

No te lo digo a malas... pero hay que preocuparse.. Blogger tiene implementado su propio tipo de plantilla, cada blog esta en un dominio(subdominio) diferente y se preocupa de meter sus cookies/sessiones bien (solo para X dominio).

Encima, vas y desactivas la protección contra XSS..

Considera que en vez de meter el código duro y puro... podrías crear un sistema de plantillas... que el usuario se tenga que adaptar a tu sintaxis y que no tenga la libertad de meter lo que le de la gana.

PD: La regla numero 1 en cuanto a seguridad en entorno web.. Nunca te fíes de lo que te manda el usuario... nunca.
Saludos