是的，事实上，你也可以用JavaScript做更阴险的事情。
http://en.wikipedia.org/wiki/Cross-site_scripting

是的，有可能。最简单的例子是

var body = document.getElemetsByTagName('body')[0];
body.innerHTML = 'destroyed';

这将删除整个页面，只写“销毁”代替。回到你的例子：用同样的方法可以替换<：

var body = document.getElemetsByTagName('body')[0];
body.innerHTML = body.innerHTML.replace('<','some other character');

这种“极端”的情况不太可能偶然发生，但绝对有可能（特别是对于没有经验的javascript开发人员）破坏网站上通常不受javascript影响的内容。
请注意，这只会弄乱客户端浏览器中显示的页面，并且不会以任何方式更改服务器上的HTML文件。只要找到并删除/修复“坏”的代码行，一切就又好了。

任何客户端/浏览器都可以在任何时候操纵页面的查看方式，例如在chrome中点击F12，然后您可以在html中编写任何您想要的内容，您将立即看到更改。不过，不用担心。
可怕的部分是，当网站上的JavaScript与后端服务器通信并为其提供一些输入参数时，这些参数在以某种方式处理之前没有在服务器端进行清理。SQL注入也可能以这种方式发生，如果后端使用数据库，他们几乎总是这样做，等等。
一个网页有两种操作方式，要么是non-persistent，要么是persistent。

**[none-persistent]：**这样你就可以操纵你对网页的访问，但是，这不会影响其他用户在它自己，但你可以做伤害一旦你。
**[persistent]：**这样服务器端代码会永久受到注入代码的影响，很可能会影响到其他用户。

这里的关键是在后端服务器处理任何东西之前，始终对它使用的输入进行清理。

你当然可以写一些JavaScript函数来修改文件的内容。如果该文件是您的HTML页面，那么当然可以。
如果您想防止这种情况发生，您可以将该HTML文件的权限设置为只读。

你可以：
1.覆盖页面
1.扰乱body标签的innerHTML（几乎相同），
1.插入非法元素。

是的。至少，你可以用它来写CSS，设置任何元素，类，ID...连体显示：无;