Letztendlich kann doch der Seitennutzer mit eval auch nicht mehr Unfug treiben, als in der JS-Konsole.

Das Problem ist nicht der Seitennutzer. Du kannst deinen Rechner auch mit der Axt zertrümmern, das ist vollkommen ok. Ich bin mir aber sehr sicher, dass selbst du es nicht ok findest, wenn jemand (hier: Programmautor) einem Dritten (hier: pöser Pube™) diese Axt quasi zurechtlegt – da liegt das Problem. Empfindliche Naturen sehen das Problem eventuell auch schon an dem Punkt, an dem besagtem Jemand die Axt unbeabsichtigt aus der Hand und dir auf den Fuß fällt.

Das Einschleusen von Code ist ein Riesenproblem und jede Möglichkeit dazu ist dementsprechend, so es irgend geht, zu vermeiden. In dieser Hinsicht ist es bemerkenswert, dass mittlerweile durchaus darauf geachtet wird, etwa von Benutzern übergebene Parameter für einen SQL-Befehl abzusichern – quasi den Nebeneingang zu verrammeln –, aber das Scheunentor, das direkte Ausführen wirklich jeden beliebigen Codes mittels eval und dergleichen (es geht nicht nur um Javascript) so völlig unkritisch betrachtet wird.