RFC4627では、"A JSON text is a serialized object or array." なのだそうだけれども、arrayではリスクを考えておく必要があるのだろう…きっと。ログインなどで認証済みのユーザにのみデータを与えたかった場合に、うんぬん。受動的攻撃でそのデータを抜かれる恐れがある。（と解説しているAjaxの本がありました）