Se ti riferisci ai siti che fanno da "preview" non è un gran problema, non è una falla ma sono fatti a posta. Il codice che seguono è client side, perlopiù hanno funzioni di sandboxing perciò non corrono rischi. Tra i più usati che io conosca ci sono browserlig e any.run, il secondo permette di fare anche analisi per capire se un sito è malevolo, quali richieste esegua, quali domini contatti e tanto altro è utile, dateci un'occhiataRipensandoci questa sarebbe un' ENORME falla di sicurezza, puoi letteralmente prendere un server e fargli eseguire il codice che vuoi... Scommesse su quanto tempo resteranno ancora online?
Ovviamente scherzo, sarebbe interessante capire come fanno a "difendersi" però.