Я вам на клиентской стороне вообще ничего не могу гарантировать, независимо от использования eval. Вы, кажется, начитались статей про PHP и интерполируете их на JavaScript.

Tim,
А xml по-вашему это не траффик? Подключить 1 раз небольшую либу, еще и минифай/обфускейт ее, или все время "переплачивать" на траффике из-за xml -- что лучше?

e1f,
х.з. х.з. м.б., пропустил JSON парсер через JavaScript Compresso действительно не много получается - 3,27 КБ

Прочитайте про AJAX Injection. И будет ясно, почему eval не безопасен

alexKniaz,
подумайте головой, и будет ясно, почему нельзя взломать сайт за счет только клиентского кода. Или хотя бы приведите пример уязвимого js-кода.

На всякий случай: XSS -- дыра серверная.