Hallo Alexander,
noch mal danke für deinen Nachhilfeunterricht in Sachen Sicherheit. Wenn ich dich jetzt richtig verstanden Habe, besteht die Unsicherheit darin, dass der User überredet werden kann, schädliche Eingaben zu machen.
Da die Felder von mir schon vorbelegt sind, dürfte hier keine Gefahr bestehen. Cross Site Scripting ist natürlich immer kritisch, auch ohne eval.
Die Sache mit der "einmalig daraus generierte JS-Funktion" werde ich mal prüfen. Bisher war Geschwindigkeit an dieser Stelle kein Problem, da die Grafik (tausende von absolut positionierten Divs) die Bremse war. Aber ich teste gerade Canvas aus, über 500 Linien und fast 10000 Punikte in 0.1 sec. Da lohnt es wider, die Rechnung zu optimieren.
Gruß, Jürgen