не знаю, я бы написал
var html = "<div>Simple div</div>";
if(b) {
html += "<div>Private div</div>
}
Ext.DomQuery.select("div#target")[0].innerHTML = html;
а переменную b где-нибудь в страничку вставил (а скорее даже создал объект с какой-то информацией):
User u = request.getSession().getParameter("user");
Boolean b = PermissionController.checkRights(u);
response.write("<script>var b = \"<div>Simple div</div>\"</script>")
по поводу безопасности - не знаю, может и повод, хотя сомнительный, имхо
по поводу размера данных - зато эти скрипты закешируются, в противном случае они каждый раз будут генерироваться
p.s. а вообще это похоже на преждевременную оптимизацию