よく考えたらunsafeWindowいじって危ないのって、ページに悪意あるjsが書かれているときにXHRで認証かかってるほかのページを読み込まれて別のところに送信されたりするからで、どういうときに悪意あるjsが入っているかといったら

• サービス運営者が信頼できない
• XSSでスクリプトが仕込まれている

なとき。
結局どっちもサービス運営者が信頼できるかどうか。