no, non si può stare tranquilli perché non c'è un modo efficente, ovvero che non coinvolge il client, per rilevare se javascript è attivo o meno: qualcuno che volesse far danno potrebbe "simulare" la presenza di javascript e saremmo punto è accapo ^^