Hola:

Para lanzar un ataque tal vez sea más normal activar javascript y usar la línea de comandos... en mi página controlo (al menos lo intento) los intentos de colar spam, y últimamente las urls empiezan por "javascript:"

Sobre los motivos, en mi caso lo suelo hacer para comprobar que mis páginas sean navegables con javascript desactivado (y a veces para comprobar la navegabilidad de páginas de terceros... pero solo por curiosidad). Otro motivo (que supongo que ya lo has leído en algún otro mensaje mio), es para evitar los efectos cansinos, tipo "mosca cojonera".

Hace tiempo se hablaba de javascript no intrusivo, creo que es una buena respuesta...

Saludos