Поскольку JSONP использует теги script для транспорта, я думаю, что это должно быть относительно безопасно: отключение доступа к сценариям в другом домене будет большим изменением в работе Интернета. JSONP преднамеренно работает вокруг той же политики происхождения, и для того, чтобы браузеры обрабатывали сценарии, произошли бы фундаментальные изменения.
Если все внешние скрипты не каким-либо образом изолированы от взаимодействия с вашим приложением (что может повредить сайты везде), JSONP должен оставаться в безопасности.
Кроме того, поскольку все больше браузеров внедряют междоменную поддержку, например, в виде файла crossdomain.xml от Flash, я думаю, что наши возможности "доверять" сценариям будут только возрастать.