Moin,
Es könnte jemand über einen Button ein Script starten, das per Ajax in einer Endlosschleife deinen Server traktiert. Die SOP greift hier ja nicht.
Daran hab ich nicht gedacht ;)
Würde das aber nicht auch bei meiner normalen Seite funktionieren, wenn der Angreifer über ein Developer-Werkzeug einen Button ins DOM einhängt?
Grüße Marco