selecter,
чтобы посторонний скрипт не мог сделать ничего опасного, его надо запускать в iframe с отдельным доменом. Обмениваться данными через postMessage
https://learn.javascript.ru/cross-wi...th-postmessage. Тут, конечно, будут ограничения.
Гораздо больше возможностей будет, если скрипт запускать у себя на странице. Но это можно делать только для проверенных скриптов. Придется делать премодерацию, запретить автообновление по-тихому, и т.д. В общем, каждый раз тупо изучать, что в коде поменялось, нет ли каких закладок.