Так было задумано создателями языка?
var ent = prompt("Введите код", "");
document.write(ent);
выполненный код вызовет окно prompt и запишет полученные данные на страницу. Но JS не только запишет полученные данные, но и выполнит код введенный в prompt, например примитивный <script language="JavaScript">alert("lol");</script>. Так и должно быть?