http://d.hatena.ne.jp/nokturnalmortum/20081202/1228218135 でも警告されているけどおれの作った blinkelement.js も commandline から渡された文字列を内部で eval しているので気をつけてね。

http://coderepos.org/share/browser/lang/javascript/vimperator-plugins/trunk/blinkelement.js

blinkelement.js も statstat.js も主に debug や development 用途の plugin なので知識のないひとは使わないと思うし、 commandline からの指定文字列に対してのみ eval しているのでそんなに危険はないと思うんだけど。いやでも injection 対策の文字列チェックはやっぱりしといたほうがいいのかなぁ。式のみ通すように semi colon ';' の後ろは切り捨てるとか二重 eval のチェックくらいはすべき ?

あと我ながら「便乗 caution 」て文字列は 90 年代臭あふれてて秀逸だと思った。