解決案(サービス側)

1. 何の Cookie も保存しない別ドメインを用意する
2. JavaScriptコードを受け取って、それを実行するボタンだけの HTML を返す CGI を用意する
3. ボタンクリックで上の CGI を iframe(display:none) で表示

これで(alert でブラクラとか別ページに飛ばすとかできるけれども)、元のページと実行ページとでドメインが異なることになりますから Cookie やページ内容(「ようこそXXさん」とか)を盗まれたり、ページを改竄されたりはしないはずです。
追記
やばい。情報は盗まれないけど DOS の踏み台になっちゃう実装だった。
追記
認証無しで script をアップロードできるようなものだから問題アリか(他所から POST された時に責任の所在がわかりにくくなる)。やっぱりこれは無しで。

解決案(クライアント側)

クライアント側といっても Opera9 だけですが。
Opera9 では data スキームが別ドメイン扱いになる*2ので、それを利用します。

(function(){
    function evalInSandbox(text) {
        var iframe=document.createElement('iframe');
        iframe.src=[
            'data:text\/html;charset=utf-8,',
            '<html>',
            '<script type="text\/javascript">',
            'try{',
            text,
            '}catch(e){alert(e)}',
            '<\/script>',
            '<\/html>'
        ].join('');
        iframe.style.display='none';
        document.body.appendChild(iframe);
        setTimeout(function(){
            document.body.removeChild(iframe)
        },1000);
    }
    alert(document.cookie);                                // 普通にクッキー表示
    evalInSandbox('alert(document.cookie)');               // 空(dataスキームのクッキー)
    evalInSandbox('alert(window.parent.document.cookie)'); // Security error.
    // !! Firefox では表示できます !!
})()

これを「山岸めも - 「スーパー pre 記法で実行可能な JavaScript を」user JavaScriptで」に組み込めばより安全になると思いました。

• -

参考

evalInSandbox の(というかこのエントリ全体の)元ネタ。Japanize のソースを眺めていて知りました。

GreaseMonkey で使えるかと思ったらダメでした。Firefox でなにかいい方法があれば教えてください。