javascript(coffeescript)を使い、ajaxで取得したhtmlコードをinnerHTMLでDOM要素に突っ込んでいます。 このとき、htmlコードの中にscriptタグを入れていてもjavascriptが実行されないのですが、

  1. 実行されないのは標準の挙動でしょうか?それともブラウザが気を利かせていての挙動でしょうか?
  2. セキュリティを考慮した上で意図したスクリプトだけ実行させるにはどうすればいいでしょうか?

以前にハマったんだけどうやむやにしてたら今日またハマって、たぶん時間かけて調べてもまた結局わからずじまいになりそうなうえにこれ理解してないのまずい気がするので、どうか怒らないで教えてください。