As duas principais ameaças seriam:
- Exploração de uma vulnerabilidade do Webkit ou de um plug-in carregado pelo Webkit / PhantomJS. Isso pode permitir a execução de código arbitrário no seu servidor.
- Acesso local ao seu servidor. É muito provável que você permita o acesso a alguns serviços internos apenas ao host local (servidor de redis, servidor de banco de dados, administração de banco de dados, ferramenta etc.). Agora seu cliente da Web também pode acessar o host local. Isso se estende a qualquer IP local.
Existem alguns outros "aborrecimentos" com os quais você precisará se preocupar, além de questões de segurança:
- download de arquivos grandes que podem preencher seu HD
- DoS na página que podem não ser uma ameaça para o site, mas serão suficientes para colocar você na lista negra
- Acione as respostas de segurança "falsificando" algum tipo de ataque (XSS, SQLI, etc.) em algum site confidencial (.gov, .mil)
- acessando conteúdo proibido (baixar arquivo torrent, pornografia infantil, etc.)