Me parece que JSON.parse () evita que un atacante inyecte javascript en la respuesta, ya que un analizador JSON es solo un analizador de texto, no un analizador de scripts, así que no cierres esto es un duplicado de todas las otras preguntas sobre las que se habla ese. Esta es una pregunta diferente.

Si un atacante puede secuestrar su llamada Ajax y poner javascript en la llamada Ajax, ¿no es probable que pueda secuestrar su página web real y poner javascript arbitrario en su página desde el que podría realizar exactamente el mismo ataque?

Claro, no tiene nada que perder usando JSON.parse () en lugar de eval () (a menos que todavía no tenga un analizador JSON en su entorno y tenga que agregar más código para obtener uno), pero qué situaciones lo hace ¿realmente agrega seguridad si su página web está siendo atendida por el mismo host que su llamada ajax?