Para expresarlo más directamente:
¿Es peligroso que el atacante conozca todas las funciones de JavaScript y todos los estilos (efectos) de CSS?
No, no es inherentemente peligroso para un atacante ver JS y CSS. Después de todo, el atacante o cualquier otro cliente debe poder ver estos archivos para que la aplicación funcione en absoluto.
Es su trabajo diseñar su aplicación para que un atacante que tenga acceso completo al código HTML, CSS y Javascript aún no pueda ejecutar un ataque (ya sea un ataque en el servidor o un "cliente- lado "explotar como la falsificación de solicitud de sitios cruzados). Es más fácil decirlo que hacerlo, por supuesto, pero ese es el objetivo.
En realidad, una buena seguridad significaría diseñar su aplicación de modo que un atacante que tenga acceso completo (solo lectura) a HTML, CSS, JS, los scripts del lado del servidor, el código fuente del servidor web, y la configuración del sistema todavía no pudo realizar un ataque. Los atacantes pueden, en general, tener acceso a todas estas cosas. Pero en la práctica, puede tomar medidas para ocultar la configuración del lado del servidor y el código fuente, y ralentizará a alguien que no esté suficientemente determinado. No puede ocultar HTML / CSS / JS y aún esperar que la aplicación web funcione.