Un cliente nuestro quiere que alojemos un blob de Javascript para su versión personalizada de nuestro sitio web. Está alojado en un subdominio de nuestro sitio ( customer.example.com ), pero usa el mismo dominio de cookies que nuestro sitio principal ( example.com ).
¿Cuáles son las implicaciones de seguridad de hacer esto, deberíamos estar de acuerdo?
Diría que las implicaciones son las mismas que las vulnerabilidad de XSS . Básicamente, lo que estás haciendo es permitirles insertar javascript de su elección en tu aplicación sin hacer que salten a través del aro de encontrar una vulnerabilidad XSS.
Dos grandes riesgos que vienen a la mente son realizar acciones en nombre del usuario sin aceptar y robar cookies de sesión si no son solo HTTP.
Si está de acuerdo, solo lo haría con la condición de que necesite revisar y aprobar todos los javascript.
Lea otras preguntas en las etiquetas third-party javascript