Javascript lässt sich für Cross-Site-Scripting und Drive-by-Angriffe nutzen. Hat vor ein paar Jahren irgendwo um die 80% aller Angriffe ausgemacht und wächst immer noch.