Hallo,

... was diese Lösung schon wieder zu einem Sicherheitsrisiko macht: eval() is evil!

Moment mal. Wo soll hier das Sicherheitsrisiko liegen?

Man holt mit XMLHttpRequest Code vom eigenen Server und führt diesen mit eval() aus. Das hat erstmal das gleiche Risiko wie das Einbinden von Scripten via <script src="...">. Es sei denn, ein Angreifer schafft es, JavaScript ins System zu schleusen, welches dann auch noch in die Serverantwort geschrieben und ausgeführt wird. Das ist dann aber kein Problem von eval, sondern nennt sich XSS und passiert auch ohne eval gerne mal.

Mathias