scusami ma non ti seguo proprio, posso scrivere un browser che interpreta il codice html o js in un certo modo.. perfetto. Ma resti comunque lato client. Il server ti dice "A" e tu recepisci "B". Il codice maligno, in questo caso, sarebbe B, non di certo A.

Facendo la submit del valore B al server, questo verrebbe intercettato e trattato come codice maligno.

Veramente non capisco.