Учитывая, что global установлено на то же значение, что и window, и window все еще доступно, если вы удалите global - global не предоставляет никаких дополнительных средств для проблем XSS / безопасности, которые уже доступны из window само по себе.
Итак, если ваш вопрос заключается в том, создает ли (window as any).global = window; некоторую новую возможность для атаки межсайтового скриптинга;это не так.