Это одно из приимуществ вебсайтов на яваскрипте которое мне нравится. Ни чего с вашими документами, ни кто не сделает. Конечно же есть XSS но это уже другая песня. Она все равно не затрагивает сервер. Обычно сайт на яваскрипте может грузится вообще с другого сервер где данные. И на этом сервере может быть не устанволено поддержки PHP, Perl, ... и других шел\цэгэай. Чисто веб сервер что бы отдавать HTML, CSS, JS.
Я обычно вообще размещаю подобные сайты на AWS S3. Это вообще хранилище файлов, где даже FTP нету. Нужен специальный ключ для доступа к данным.
