Mi stupisco anche io che HTML.it non verifichi cosa viene pubblicato, a livello di script. Proporre JS per la "sicurezza" è paradossale. Nessuno script lato client può essere sicuro, in quanto tutto il codice è visibile, modificabile, disattivabile, ecc.

Se invece questo script è stato verificato e pubblicato lo stesso allora... non mi esprimo che è meglio.