Kann es sein das du eine "Gefahr" siehst, die es überhaupt nicht gibt?

Deine Angaben kann ich nicht nachvollziehen. Meinst du wirklich HTML und CSS? Die bilden ganz allgemein und grob eine Seitenbeschreibung. Da kann kein Schadcode enthalten sein, weder inline noch inside noch extern.

Oder meinst du Javascript, PHP und Konsorten?

Wenn du (aus welchen unerfindlichen Gründen auch immer) unsichere Seiten testen willst kannst du als eine Möglichkeit einfach einen virtuellen Rechner ohne Außenverbindung aufsetzen. Da braucht es keine speziellen Browsereigenschaften.

Vielleicht habe ich dich auch komplett falsch verstanden.