http://www.spidynamics.com/assets/documents/AJAXdangers.pdf
後で読む

これはともかく、といろいろ考えてみると、eval関数の引数としてサーバからのレスポンスを使っているとまずいことが起こるのね。アプリによっては受け取ったデータをもとに、動的にコードを変えるとかありそうな気が･･･
サーバ側にJavascriptのコードのみを記録できなければ問題ないけど、それが出来てしまうと･･･
まあ、攻撃はかなり限定されるんだけど、危険なことは確かだし･･･
これよりは、Imageオブジェクトのソースにコードを仕込まれる方が可能性があるからなぁ。
AJAXを使うときに気をつけなきゃいけないコード例とかあるとうれしいかも。