なんだか色々書きすぎて要点が分かりにくくなっていますが、要するに、
場合に、悪意のあるサイトが、
ようなHTMLを使うと、悪意のあるサイトのスクリプトが、返したデータにアクセスできてしまう*1ということでしょうか。
対策としては、
が有効と。
で、prototype.jsなどのクライアントサイドのフレームワークの場合、Content-Typeをtext/javascriptにすると勝手にevalしてくれる機能がありますが、この機能を使うと上記の二番目の対策が取れないので問題があるということですね。
そもそも別のドメインから取ってきたスクリプト同士が実行コンテキストを共有しているのが問題な気がしますが、そこは変更されないのでしょうか。
*1 scriptタグ内のURLにアクセスするときにもCookieは送られるので