hallo

moin,

schön, schön. Aber ein potenzieller Arbeitgeber, der mich nicht kennt, wird mir nicht vertrauen und schön JavaScript auf meiner Seite deaktiviert lassen, bevor er sich einen potenziellen XSS einfängt, gesetz den Fall das ich die benötigte JavaScript-Funktionalität einbringe.

Nach meinem Wissensstand lass ich JavaScript, JavaScript sein. Ich bin noch zu ungebildet als das ich mich sicherheitstechnisch daran wage 😕.

Ich vermute mal, dass es bei deiner App auch darum geht, Mailbox-Inhalte im Browser anzuzeigen, wobei genau diese Inhalte nicht in deiner Gewalt sind.

Du musst dich also auf jeden Fall mit einer Sandbox befassen, ob du selber javascript einsetzt oder nicht.