or padrão, os navegadores não permitem solicitações AJAX entre site

Entendo que uma solicitação entre domínios mal previspod ser um risco de segurança. Se eu pegar o html ou o javascript de um site externo e apenas "renderizá-lo" no meu site, isso é um problema. Esse código externo pode ser usado para muitas coisas ruins - como obter acesso aos dados da sessão do usuário atua

Mas se eu solicitar apenas dados JSON ou XML e usar uma biblioteca adequada para analisar o JSON (não apenas usando eval), não consigo imaginar como isso seria um risco à segurança. O pior que pode acontecer é que o conteúdo proveniente desse site não é renderizado corretament

Estou perdendo alguma coisa? É possível comprometer uma página que lê json / xml simplesmente enviando algum tipo de dados maliciosos?