JSONのGuruなんだろうけど、いまいち納得できんことが多い。

http://yuiblog.com/blog/2007/04/10/json-and-browser-security/

If there is the slightest chance that the server is not encoding the JSON correctly, then use the parseJSON method instead. The parseJSON method uses a regular expression to ensure that there is nothing dangerous in the text. The next edition of JavaScript will have parseJSON built in.
For now, you can get parseJSON at http://www.JSON.org/json.js.

自前スクリプトでparseJSONしなきゃいかんならXMLでいいよとか思わんかな。そもそもServerがJSON invalidなコードを送り込んでしまうこと自体が問題な気がするけど。builtInでparseできる日もまだ先だし。ちなみにこのjson.jsの中のtoJSONStringはObject.prototypeを拡張してるんで結構嫌な感じ。見る限り随分の人がはまってる。

Scriptタグ云々の話は正しいと言えば正しいけど、現状を表してないよね。