В дополнение к сообщению выше, хотел бы сказать, что скрипты действительно могут по факту сделать XSS-инжект. Попробую объяснить понятней: ты зашёл например в вк, залогился там, посидел, зашёл на какой-то другой сайт, и вдруг ты отправляешь сообщение своему незнакомцу, или просто подписываешься на неизвестную группу. Происходит это из-за того, что тот сайт, на который зашёл, сделал запрос к вк, чтобы он что-то сделал. К примеру, вроде как GET-запрос, message.send, отправить сообщение кому-то. В обычном вк логично, что он построен на своих же API, а ты как раз залогинен на сайте, что позволяет тебе спокойно отправлять сообщения или подписываться на группы. Вредоносный сайт же, может с помощью того HTML-кода совершить GET или POST запросы. К примеру:

, точной ссылки и точных параметров я не помню, но это так, к примеру. В том числе можно отправлять и POST запросы, используя тег form. Его можно скрыть на сайте, а в скрипте прописать, чтобы он автоматически отправлялся, когда пользователь зашёл на сайт.

В давние времена, js-скрипты на сайтах были настоящими вирусами, но впоследствии их возможности значительно почикали, и мы имеем что есть. Вроде как читал, что они имели доступ к файлам на компе, или что-то такое.

Не претендую на лучший ответ, да и ответил как-то поздно, но anyway, надеюсь моя информация была полезной