Мне любопытно, что делает www.jsfiddle.net защищенным от XSS-атак? У них есть поддержка учетных записей, поэтому ясно, что любой сценарий, запускаемый в браузере, может творить зло.