Риски пользовательского HTML

Всем привет.

Хотелось бы получить совет о тех кто сильно в курсе. А то чувствую, что моей квалификации не хватает для принятия решения.

Смотрите, пишется некий сервис, который работает по API с другим крупным сервисом. На том сервисе есть возможность ввести HTML код для кастомизации своих данных. Соответственно и мы должны дать возможность пользователям его вводить.

С одной стороны, нам совершенно без разницы какие данные мы получим от пользователя, мы просто сольем их по API и валидация + безопасность введенных данных это головняк того сервиса, не наш. С другой стороны, на нашей стороне не плохо было бы дать пользователю проверить, что он там на вводил, как это смотрится.

Вопрос: Если мы откроем новое окно, где кроме обрамление <html><body>...</body></html> + кода который ввел пользователь ничего не не будет мы чем-то рискуем? Оставляем какую-то лазейку что-то попортить у нас?

Подозреваю, что нет - но все равно как-то страшновато.

Спасибо.