Eu entendo que o JSON.parse () impede que um invasor injete javascript na resposta, já que um analisador JSON é apenas um analisador de texto, não um analisador de script; portanto, não feche. Este é um truque de todas as outras perguntas que falam sobre naquela. Esta é uma pergunta diferente.

Se um invasor puder sequestrar sua chamada do Ajax e colocar javascript na chamada do Ajax, eles não serão capazes de seqüestrar sua página da Web real e colocar javascript arbitrário na sua página a partir da qual eles poderiam realizar o mesmo ataque exato?

Claro, você não tem nada a perder usando JSON.parse () em vez de eval () (a menos que você ainda não tenha um analisador JSON em seu ambiente e precise adicionar mais código para obtê-lo), mas que situações o fazem realmente adicione segurança se sua página da web estiver sendo veiculada pelo mesmo host que sua chamada ajax?