La seguridad es un tema de servidor. Con javascript no podés manejar nada que tenga que ver con seguridad ya que, además de poder desactivarlo, sin desactivarlo podés cambiar lo que quieras ya sea usando Firebug, GreaseMonkey o simplemente la barra de direcciones del navegador y el protocolo javascript:
Por eso, todos los blindajes anti xss, anti db injection, anti html injection, etc, siempre se deben hacer con lenguaje de servidor.