Я прочитал вопрос здесь, в SO «jQuery Linking vs. Download», и я как-то не понимаю.«Та же политика происхождения» и скрипты, загруженные из Google - уязвимое решение?
Что произойдет, если вы разместите страницу на http://yourserver.com
, но загрузите библиотеку jQuery с http://ajax.googleapis.com
, а затем воспользуйтесь функциями, определенными в скрипте jQuery?
Имеет ли значение «такая же политика происхождения» в этом случае? Я имею в виду, можете ли вы позвонить AJAX обратно на http://yourserver.com
?
Выполняется ли JavaScript считается исходящим из yourserver.com
?
Моя точка зрения заключается в том, что вы не знаете, что пользователь скачал с какого-либо стороннего сервера (извините, Google), и все же код, выполняемый на его компьютере, так же хорош, как тот, который он будет загружать с вашего сервера?
EDIT: Это означает, что если я использую счетчик веб-статистики от третьего лица, я не очень хорошо знаю, они могут «ввести» некоторый код и позвонить в мои веб-службы, как если бы их код был частью мой?
(Если вы используете обычный http, это не похоже на вы знаете, откуда приходит какой-либо код.) –