Bei Powermail (Version 1.6.9) gab es auf einer betreuten Seite ein Problem mit dem XXS Filter von Chrome/Safari.
Offenbar wird beim Versenden eines Formulars mit Powermail im Post Javascript mit versendet, das wiederum im Response auftaucht.
Die WebKit Browser werten das als mögliche XXS Attacke und der X-XXS-Filter greift und lässt das Laden sämlicher Resourcen auf der Bestätigungsseite nicht zu, was dazu führt, das eine zerschossene Bestätigungsseite nach erfolgreichem Absenden eines Powermail Formulars zu sehen ist…

Siehe auch:
http://stackoverflow.com/questions/1547884/refused-to-execute-a-javascript-script-source-code-of-script-found-within-reque

„This happens when some JavaScript code is sent to the server via an HTTP POST request, and the same code comes back via the HTTP response. If Chrome detects this situation, the script is refused to run, and you get the error message Refused to execute a JavaScript script. Source code of script found within request.“

Von hier wird auch hierauf verwiesen:
http://blog.chromium.org/2010/01/security-in-depth-new-security-features.html

„…
In the end nothing changes except that browsers are more complicated and fragile. Google serves its pages including this blog with X-XSS-Protection: 0 for a reason; that should tell you something.
…“

Also ist die „Lösung“ das Setzen eines zusätzlichen Headers, der den Filter unterbindet:
In TYPO3 sähe das so aus:
config.additionalHeaders = X-XSS-Protection: 0