Ja, ja! Creo que está todo dicho. No entiendo realmente porqué muchos se empeñan en simular la funcionalidad de clases en javascript (he visto esfuerzos increíbles, tan encomiables como inútiles desde mi punto de vista en ese sentido: http://webreflection.blogspot.com/20...t-classes.html).
Sólo agregaría que no es complejo saltarse la restricción de la política del mismo origen de javascript, así que nunca jamás hay que dejar de validar en el servidor todo aquello que tenga que ver con seguridad.