El problema de permetre inserir codi font directament és que s'insereix una vulnerabilitat molt gran, el XSS:http://jehiah.cz/archive/xss-stealing-cookies-101http://foro.elhacker.net/tutoriales_documentacion/tutorial_ataques_xss-t32042.0.htmlAmb la qual cosa, un usuari malintencionat que posara un <script> maliciós, podria inserir tot tipus de codi esgarrifós però també apropiar-se de la cookie de sessió dels usuaris que visitaren el seu blog, i apoderar-se d'un compte d'usuari de manera ràpida, senzilla i barata.per això, tot el javascript que es permet a blogs.flog.cat és a iframes continguts en altre domini, flog.navhost.comtots els llocs webs que permeten tocar el codi font i inserir <script>, són vulnerables als atacs XSS, a no ser que la cookie de sessió no sigui vàlida en la ruta o en el subdomini on se permet inserir (només per a www), però aquí a flog.cat és necessària per a tot.I... corregit bug.
Sigues el primer a qui li agrada això.