Запустите код в iframe, размещенном на другом Origin. Это единственный способ гарантировать, что ненадежный код изолирован и не доступен для доступа к глобальным или DOM страницы.
iframe