No es lo mismo con eval que con Firebug y GreaseMonkey.

Claro, un programador ya tiene que ser irresponsable para que suceda, pero que es posible, es posible.

Supongamos que un programador despistado toma un valor de la URL y lo inserta en medio de un String que después pasa por eval. Ahí sí se puede hablar de un ataque XSS.

Por eso hablé en principio del contexto en que se usa, y que dependiendo de éste, aún sigue válido el argumento de la seguridad (convengamos, aún hay gente que hace esas cosas que podrían parecernos descabelladas).

Pero con Firebug y GreaseMonkey no, por lo menos lo que yo entiendo por XSS no se puede hacer con esas herramientas.