das einbinden Domain-fremder Inhalte ist immer Kritisch.
Da dies beim XML-Request nicht geht, würde ich eine JSON-JS-File als einzigen aber unsicheren Weg sehen.