scrapiでは「カスタマイズ」ページから自分のサイトのHTMLを自由に編集する事ができます。javascriptやflashでも制限なく書けます。それはセキュリティ上大丈夫なのか、という話。
ログインや記事の編集などは www.scrapi.jp ドメイン上で行うようになっています。cookieはドメインwww.scrapi.jpで保持しています。ユーザページは [ユーザ名].scrapi.jp ドメインになっていて、カスタマイズしたHTMLはここで表示されます。そのため、ユーザページからは閲覧者の認証情報は得られません。右下にお気に入りなどのメニューが出るのですが、これは www.scrapi.jp ドメインのページを iframe で表示しているので、ユーザページのHTMLに書かれたjavascriptからは参照できません。
以上のことから、ユーザが自分のページでjavascriptを書けても問題がないと判断しています。ただ、www.scrapi.jpに対してセキュリティ上の危険がないにしても、通常のHTMLと同じだけの危険はあります。具体的な例で言うと、hamachiya2.scrapi.jp にアクセスすることは hamachiya.com にアクセスするのと同じくらいの危険性があります。これにたいして手を打つべきかどうかはちょっとわからないので考えておきます。
ここに書かれた内容について、誤りの指摘やご意見などありましたらコメントなどいただけると助かります。