meg bizonyára nem lehet észrevenni egy büdösnagy eval()-t :D Jó, hát a content security policy nyilván nem fogja meg.
De egyébként tényleg inkább az a kérdés, hogy mi a pékért van ez ott? Mármint nyilván volt neki valami oka, hogy nem máshova injektálták.