После прочтения этой статьи у меня нет четкого ответа:
http://palizine.plynt.com/issues/2010Oct/bypass-xss-filters/
Будут ли браузеры интерпретировать Полезная нагрузка URI данных text/html в src
в качестве документа, в котором выполняются теги ?
Если нет, то безопасно ли разрешать URI данных в сторонних HTML?
Какие механизмы безопасности существуют на уровне браузера для этого варианта использования?