Я получаю, что JSON.parse() не позволяет злоумышленнику вставлять javascript в ответ, поскольку парсер JSON - это просто синтаксический анализатор, а не синтаксический анализатор script, поэтому, пожалуйста, не закрывайте, это дублирует все остальные вопросы, которые говорят об этом. Это другой вопрос.
Если злоумышленник может заблокировать ваш вызов Ajax и поместить javascript в вызов Ajax, разве они не смогут захватить вашу фактическую веб-страницу и помещать произвольный javascript на вашу страницу, из которой они могут выполнить ту же самую атаку?
Конечно, вам нечего терять, используя JSON.parse() вместо eval() (если у вас еще нет парсера JSON еще в вашей среде и вам нужно добавить больше кода для его получения), но какие ситуации действительно ли это повышает безопасность, если ваша веб-страница обслуживается тем же хостом, что и ваш вызов ajax?