Wenn ein externes Script mit den gleichen Rechten arbeiten kann wie eines von meiner Seite, ohne dass der Benutzer irgend etwas davon mitbekommt, wenn es auf die Cookies Zugriff hat, beliebeige Daten vom DOM lesen (auch von Formularen) und irgedwohin verschicken kann, das DOM umbauen kann, dieselben Rechte auch anderen Scripts von irgendwoher gewähren kann...

ach so machen die das, einbau von externen scripts die on the fly erzeugt werden. das externe js-script ist dann quasi ein php script was den js-code live erstellt und gleich die nachzuladenden daten in den code reinschreibt.

danke für den tip, so kann ich mein problem lösen.