dann wäre die Frage wie lange funktioniert das noch.
Die zweite wäre, wer von den Entwicklern denkt sich für die HTTP Requests eine Same Origin/Domain Policy aus und übersieht mal wieder eine kritischere Schwachstelle (meiner Meinung nach).

Nein ist es nicht. Der Zugriff auf fremde Seiten soll verhindern, dass du mit JS Daten aus fremden Seiten abfischen kannst. Mit einem Frame oder einem HTTP Request Objekt hast du ja Zugriff auf das DOM. Mit einem script Element kannst du aber kein DOM einbinden, sondern auschließlich JS Code.

Bei Ajax soll das aber wohl wieder etwas geändert werden und die JSONP Schwachstelle bleibt wohl, weil viele Webdienste sonst nicht mehr funktionieren.

JSONP bedeute lediglich, dass du auf deiner Seite die Freiheit hast, mit einem script-Element JS Code von einer fremden Domain einzubinden. Das wird auf manchen Seiten ausgenutzt und ist als XSS bekannt, aber für diese Lücke bist du als Seitenbetreiber  verantwortlich, nicht der Browser.

Struppi.