Hallo T-Rex,

Daraus schließe ich, dass es nicht via Javascript nachgeladen wird.

Diese Folgerung ist nicht ganz valide.

Man kann per JavaScript ein Script-Element erzeugen, das src Attribut setzen und das Script ins DOM hängen. Daraufhin wird es geladen und ausgeführt.

Und das geht auch ohne src, dafür mit direktem Script-Inhalt:

let s = document.createElement("script");
s.innerText = "alert('Hello World');";
document.body.appendChild(s);

Sofort nach dem appendChild erscheint das Hello World Popup. Statt einer Stringkonstante könnte der innerText auch via Ajax befüllt werden. Oder aus unlesbaren Fragmenten zusammengestoppelt. Der Kreativität und Gemeinheit sind dabei wenig Grenzen gesetzt.

Ich will nicht sagen, dass das bei Dir so ist. Aber es gibt eine Menge Möglichkeiten, das DOM obtrusiv aber unbemerkt mit Scripten zuzukleistern.

Rolf