Moin,

Es könnte jemand über einen Button ein Script starten, das per Ajax in einer Endlosschleife deinen Server traktiert. Die SOP greift hier ja nicht.

Daran hab ich nicht gedacht ;)
Würde das aber nicht auch bei meiner normalen Seite funktionieren, wenn der Angreifer über ein Developer-Werkzeug einen Button ins DOM einhängt?

Grüße Marco