发送给客户端'被解释为JavaScript对象

从Ajax响应(来自服务器)，不通过JSON(不使用JSON)我能够发送一个字符串到客户端，可以解释为一个JavaScript对象和执行?

我很抱歉，我有一个心理障碍:我不确定我应该发送到JavaScript前端(客户端)在服务器上的用户身份验证后。我知道需要有一些控制用户(用户/管理员)点击，但我不确定发送什么是安全的，不发送什么是不安全的。有人告诉我隐藏控制不安全。我知道如何在服务器上实现用户身份验证。我理解服务器上的检查需要进行，如果一个控件被单击，以检查用户(用户/管理员)是否有该控件的正确权限之前，服务器执行控制功能(在服务器上)。我知道我可以设置一个变量并将其发送到前端，一旦它被接收(Ajax响应)添加控件(appendChild)。如果我这样做，我觉得它不安全，因为所有这样做的代码很容易被浏览器查看(页面源)。