今から「いわし」を使い、どこまでJavascriptがいわし内で通用するかを検証してください。現時点では以下の点を検証済みです。
(1)大前提として、クラッキング対策をCGI側で施してあるため、大抵のスクリプトは反応しない。
(2)<script><!-- //--></script>で囲んだタグは無視されるようだ。即ち、関数を定義して呼び出す手法は使えない。
(3)従って、<span onmouseover="document.xxx.xxx"></span>などとし、すべてタグ内に含む方法が主流になる。
「いわし」に「prototype.js」が使用されているのを確認しました。通常の方法では関数が定義できませんが、prototype.jsからでしたら関数が呼び出せるかもしれません(未テスト)。
※ご注意! 悪質なコードは書かないようにしてください。Javascriptですから被害はたかが知れていますが、節度を持って書き込みをお願いいたします。