これについてもう少し詳しく調べてみましたが、sandbox化されたiframe内でパスワードマネージャがautofillする問題は2023年頃に脆弱性として報告されており、主要なパスワードマネージャでは修正されているようでした。
https://demonslayervietsub.graphy.com/
https://demonslayervietsub.graphy.com/courses/DemonSlayerKimetsuVietsub-68ac88af00a1d50ef4518995
https://demonslayervietsub.graphy.com/products/Thanh-Gươm-Diệt-Quỷ-Vô-Hạn-Thành-Vietsub-Full-HD-68ac86d6b3f6723996ddeb1d
https://cccv.to/xemdemonslayer
完全に別ドメインにした方がやはり安全ではありますが、これに関して言えばサブドメインでも即危険な状態になるわけではなさそうです。
問題2: ちょっとセンシティブなデータに投稿者がアクセスできる
上記の対策を行い、サービス上の認証の関わる部分にはアクセスができなくなったとしても、投稿者は自身がホスティングするサイトにリクエストが飛ぶようなコードを1文書けば、リクエストログからプレイヤーのIPアドレスやUser-Agentを見ることができます。
💡 対策: プライバシーポリシーに書いておく
これは「サービスとして許容範囲」という判断をすることになると思います。プライバシーポリシーに「投稿者や第三者がIPアドレス等の情報にアクセスできる可能性がある」と明記しておくとトラブルが起きにくいはずです。