JSON, JSONP

JSON 自体は JavaScript 風の配列やオブジェクトを記述できるデータフォーマットで、見ての通りそれ自体は人畜無害 (eval() を使わなければ)。 JSONP は script タグを使って読み込み、コールバック関数を実行させて same origin policy を乗り越えさせるテクニックを指す。

ここが危ない！Web2.0のセキュリティ：第3回　JSONPでのクロスドメインアクセス｜gihyo.jp … 技術評論社
[鏡] 入門 JSON 3 -- JSONP とコールバック関数 -- 戯れ言++
JSON - Wikipedia, the free encyclopedia

RFC 4627 を見るに、外側に関数を記述するような記法は JSON の厳密な文法から逸脱しているみたい。
外部サーバのファイルを script タグで読み込ませることは、もちろん Ajax 以前から危険を伴う。same origin policy も上位階層のドメインによって緩められることがある。

同一生成元ポリシー - MDC Ajax アプリケーションに対するセキュリティーの脅威を克服する (via same origin policy（同一生成元ポリシー）はスーパー・ドメイン方向に緩められる - nopnopの日記)