javascript содержащийся во вложенном файле может быть выполнен в контексте сервера.
vulners.com/securityvulns/securityvulns:doc:1694