Hallo,

Auch bei Ajax gilt m.W. die Same Origin Policy.
klares jain.

Ajax ist ein irreführender Marketing-Terminus mit weiter Bedeutung. Für XMLHttpRequest - was i.d.R. mit Ajax im speziellen gemeint ist - gilt die Same Origin Policy ausnahmslos.

Wenn die JavaScript-Datei bereits vom Remote-Server stammt, darf sie offenbar trotzdem die Seite manipulieren, siehe Google Maps API

Ja, man kann Scripte von fremden Servern einbinden, die dann im Kontext der eigenen Domain ausgeführt werden.
Deswegen ist es ein potenzielles Sicherheitsproblem, Scripte von fremden Servern einzubinden. Man muss volles Vertrauen in diese fremden Server haben. Wenn z.B. ein Adserver kompromittiert wird, kann er schädlichen JavaScript-Code an tausende Sites ausliefern. Damit könnten unzählige vertrauliche Daten gestohlen werden oder wichtige Daten zerstört werden, schließlich kann das Script Webanwendungen mit Requests zubomben, sofern der nicht wie z.B. das StudiVZ mit ständigen CAPTCHAs gesichert ist.

Mathias