http://deztec.jp/design/06/02/07_script.html
http://d.hatena.ne.jp/hoshikuzu/20060206#P20060206BLOGVSXSS
なかなかおもしろい議論になっていますね。
おそらく大いなる見解の相違があるために、よくあるちょっと不毛な可用性の反論と安全性の議論にしかなり得ないんでしょうけど、ちょっとだけ。

はてなユーザの少なからずは、スクリプトを自由に使いたいのに、

つhttp://i.hatena.ne.jp/idea/3788
はてながある意味過激なまでにマジョリティニーズを考えている会社だとすると、可用性派と安全性派のどちらかが多数であることで方針が決まるんじゃないですかねえ。そうするとJavaScriptへの全面的な許可ってのは今のところなさそうですね。現状はほんの少数が使いたい機能を許して、他の大多数の安全性がちょっと？損なわれる、という図式になってるわけですしねえ。
可用性との議論ではいつも、基盤やインフラに対する認識の相違が浮き彫りになりますよね。要するに今はそこそこ安全だし、ちゃんと使えているから、行きすぎたセキュリティは不要、と考えるか、いやいや、まだこんな基盤は脆弱なのでもっと安全にしないと、と考えるか、ということですね。まあ、あちきはセキュリティ系なので（笑）、今のところまだ安全とは言えないと思ってます＞基盤。まして、最近の犯罪傾向としては、犯罪者側にスクリプトなどの技術に秀でた人が増えてきていますからね。フィッシング技術の変遷などを見ているともう驚かされますよ。Webサービスのリダイレクトを利用してURL偽装するとかってのは、専門家でもなかなか見分けがつかないくらいだもんね。シンプルだし。
そんな利用のされ方って、たぶん今のところはまだ可用性推進な方々の意識からすっかり欠落しているので、その状況が改善されない限りはセキュリティをもっと主張してかないとなー、とか思ってたりします。
という戦略的な立場もあるのですが（笑）、ぶっちゃけていうとたかがブログじゃねえか、とか思う部分もありますねヽ(´ー`)ノ仮に成りすまされたとしてどうよ？それが何か影響があるのか？というね。
ただ、あちき自身はこのコンテンツ成りすまされたりするとちょっと困りますね。だから自分都合かな（笑）。自分都合でスクリプト断固反対（爆笑）。*1