Suponiendo que ambos usan autenticación de sesión, validación de token y https forzado:
¿Existe alguna diferencia en la seguridad entre el envío de datos a través de una ventana emergente JS < > ajax endpoint, y un formulario de página web estándar?
La Política del mismo origen no distingue entre HTML y JavaScript en el contexto del acceso a datos . Existe un formulario HTML dentro del DOM dentro del contexto del sitio web, y JavaScript está vinculado a este mismo contexto. En ambas implementaciones, Scripting entre sitios se puede usar para socavar la Política del mismo origen y obtener información confidencial.
Lea otras preguntas en las etiquetas tls javascript