Вот как увидит AVAST слово eval в javascriptе так иногда его дрожь пробирает, он такой сайт объявляет вирусоопасным, посмотреть страничку сайта не дает, и если и удалось, отключив этот самый AVAST на пару минут, сохранить себе на диск злосчастный html/js, то при включении AVASTа он расправляется/удаляет сохраненный файл.
И что такого в этом eval? Пока только и видел, что с его помощью укрывают какой нибудь свой запрос к серверу, ну и все. 
Тем не менее AVAST считает по другому, боится он таких запросов, почему?
Инструкция по вирусам мне не нужна, просто интересно, на самом ли деле можно выполнить какие то нежелательные действия на компе клиента.

Ссылка. Допустим, вы парсите json-ответ с другого сайта и засовываете его в eval() на js. Возможен вариант, когда с того сайта
придет json-сообщение, которое засунутое в eval() на JS может, например, убить все DOM-элементы на вашей странице и загрузить через iframe "левую" фейковую страницу, на которой Вам остается залогиниться. После чего данные авторизации уйдут взломщику.

Этот ответ добавлен с нового Винграда - http://vingrad.com

 Может схема и выполнимая, но не могу себе представить чтобы тот ответ, что я ожидаю получить со своего же сайта, содержал в себе подвох. Разве что мой сайт будет взломан, но тогда какая уж там авторизация? не до нее будет, как я понимаю. И что уж там ломать, когда и так уже взломано, если говорить об авторизации на моем сайте.
 С другой стороны, json-ответ или иной ответ с другого сайта - ну разве можно его в eval? и без проверки даже.
 Данные авторизации - и как Вы себе представляете их получить второй раз, если они уже один раз были отправлены на мой сайт? (login,password) если они конечно не сохранены где нибудь в печеньках.
 А и посетитель моего сайта, например, разве он не глянет в адресную строку прежде чем вводить свои login, password?
Game-lot,  скорее всего я не все понял из Вашего сообщения.
Это же нужно, чтобы какой нибудь сайт сделал запрос на мой сайт, и я в ответ пошлю ему липу в jsonе? натянуто как то. Аваст видимо чего другого боится. 
 На самом деле выполнить какие то нежелательные действия на компе клиента с помощью только eval бесполезно, думаю. В таком случае
 или аваст перестраховывается, или попросту нагоняет себе цену 
 и популярность, типа защищает меня от страшных сайтов в интернете.

Я писал про фейковую подмену реальной страницы на страницу злоумышленника. Это довольно извращенный способ, такую дыру еще спрограммировать надо .

Но помимо этого, не нужно забывать, что в браузерах есть дыры. Аваст регулярно обрывает неавторизванные загрузки из браузеров Хром и Файрфокс с различных файлообменников. Вызовы этих загрузок можно зашифровать и засунуть на выполнение в eval() (как вариант).

Этот ответ добавлен с нового Винграда - http://vingrad.com

Я думаю, реальную угрозу несет не JS eval(), а php eval()  Но эту функцию Аваст не видит по понятным причинам :)

Этот ответ добавлен с нового Винграда - http://vingrad.com

 Серверный eval для данных полученных от клиента в результате сделанного запроса - такое даже в страшном сне не приснится !
 Согласен с Вами полностью.
 Но тогда получается, что аваст охраняет не мой комп, а сервер, ууу какой он заботливый, перестраховщик.
 Любопытство нарастает, что такого вредного можно все же сделать   этим eval в браузере? (кроме того чтобы открыть мне лишнее окно какого нибудь ХХХ бредового сайта) 
 Хоть одним глазком бы глянуть на онлайн эксклюзив.