Ok, yo no estoy metiendo datos en la página, y eso que me menionas de agrgarlo a favoritos, si ya lo he hecho y si sirve para cualquier página, lá idea es detectar esa inclusipn de código en el evento de carga de la página, pero ya una vez cargada, si escribes código y lo ejecutas, la página no hace postback, no va al evento onload(), simplemente ejecuta el script, no es de imaginar si es posible, la página no te la doy porque tendrpias que tener una cuenta bancaria en la entidad, ya que "cachean" ese script solo si el usuario se logueó, antes de loguearse, no lo hacen, todos los scripts se ejecutan "libremente", entiendo que solo se ejecuta desde el lado del cliente, para eso está ya la seguridad del lado del servidor, pero no es vien vistos por una persona como cliente si me conecto a mi banco y veo que puedo ejecutar scripts desde el browser; es por eso que surge la necesidad de evitar que esto suceda