Das Sicherheitsrisiko, das Sie eingehen, besteht darin, dass Sie Eingaben vom Benutzer vornehmen und diese im Kontext eines Skripts auf Ihrer Website ausführen. Stellen Sie sich vor, Sie wären ein bösartiger Cracker, der aus irgendeinem Grund uneingeschränkten Zugriff auf die auf einer Website laufende Version JavaScript hatte. Sie können alles tun, was JavaScript in Ihrer Domain ausführen könnte (einschließlich Cookie-Diebstahl, XSS, Drive-by-Malware usw.).
Das einzige, was Sie realistisch tun können, um die Risiken zu mindern, besteht darin, den von Benutzern bereitgestellten Inhalt nicht zu überprüfen. Versuche, die Eingabe zu bereinigen, um nur "sichere" Eingaben zuzulassen, sind zum Scheitern verurteilt; Es ist fast unmöglich zu definieren, was als sicher gilt, und sogar noch schwieriger, das Skript darauf zu beschränken (da der potenzielle Angreifer eine interpretierte Sprache hat, mit der er seine Absichten verbergen kann).
Wohlgemerkt, wenn dies für Bildungszwecke ist, dann ist ein Ansatz, nur um sicherzustellen, dass alle Sicherheitslücken keine Rolle spielen. Schlechtes JavaScript kann Ihren Server nicht zerstören oder Geld von Ihrem Bankkonto stehlen (es sei denn, es befindet sich auf der Webseite Ihrer Bank). Wenn die Seite, auf der die Seite gehostet wird, keine Cookies oder Sitzungen enthält, die es wert sind gestohlen zu werden, und die Schüler wissen, dass es nur eine Bildungsressource ist, denke ich nicht, dass es etwas geben würde, worüber man sich Sorgen machen müsste. Die meisten Angriffe basieren auf dem Zugriff auf vertrauliche Informationen, die in Ihrer Domain gespeichert sind, oder darauf, dass Domain-Besucher vertrauliche Informationen irgendwie preisgeben (phishing Angriffe oder ähnliches). Für Ihre Zwecke, denke ich, werden Sie in Ordnung sein - tun Sie es einfach nicht auf einer "echten" Website.
Führen Sie die Seite nur lokal aus. Es gibt keinen Grund, es ins Internet zu stellen. –