En resumen, lo de siempre: En desarrollo web los temas relativos a la seguridad no pueden achacársele a javascript sino a un mal manejo de la seguridad a nivel servidor.
Con un control adecuado en el servidor eval es inofensivo. Con un mal control en el servidor hasta un tag html puede convertirse en una pesadilla.