Does having a script in a fragment qualify as a potential XSS vulnerability?

問題

フラグメントが開かれたときにコードが実行されるように、フラグメントのHTMLセクションにJavascriptコードを次のように記述することができます。 <img src=x onerror="alert(document.cookie)">
クロスサイト・スクリプティング（XSS）の脆弱性ではないか？

フラグメントHTMLの中にスクリプトがあることは有効なユースケースであるため、これは意図された動作である。
HTMLフラグメントは、ユーザが高度なロールにのみ使用を許可することを想定しているため、そのままではサニタイズを提供しません。また、ユーザはマスターページで使用を許可しないように設定することで、アクセスを制限することができます。どのフラグメントの管理者も、フラグメントのJSフィールドにあらゆる種類のJavascriptを書くことができ、これらのスクリプトは悪意のある者によって注入されるのではなく、管理者がサイトに機能を提供するために注入する。
それでも、我々は提供する：
- フラグメント・テキスト値をエスケープする可能性については、こちらで説明しています：フラグメント設定テキスト値のエスケープ (関連記事も見つけました: エディターがウェブコンテンツのフィールドに実行可能コードを注入するのを防ぐことはできますか？)
- SanitizerUtilは、ユーザーが独自のサニタイズ・ルールを実装するためのものです。