8
No usar Google CDN para jquery rompe la regla de no usar solicitudes de dominio cruzado en la página web. ¿Confiamos en Google lo suficiente para hacer esto?Dominio cruzado y google CDN para jquery
A
Respuesta
9
El uso de etiquetas de script de un sitio web extranjero está permitido dentro del navegador. Porque se supone que tiene la intención de cargar esta funcionalidad. Sin embargo, los scripts cargados no se pueden comunicar directamente con el dominio foráneo (XHR del mismo origen, excepto con CORS). Ahora bien, esta es precisamente la razón por la que no desea permitir la entrada de usuarios no verificados que podrían cargar una secuencia de comandos desde un sitio extranjero. Es posible que un script extranjero haga cosas que no desea, pero si es de una fuente confiable, debería estar bien.
Si Google fue sorprendido de estar usando una inyección a través de su CDN, habría reacciones severas, y dudo que alguna vez ocurriera, y si lo hiciera, sería corregido mucho más rápido de lo que notaría.
2
No, no infringe las reglas de las solicitudes de dominio cruzado. Cuando incluye jQuery del CDN de Google, simplemente está incluyendo un recurso en su página (muy parecido a vincularlo a una imagen). Esto no entra en el concepto de seguridad Same Origin Policy al que supongo que refiere, que abarca principalmente solicitudes XHR (ajax).
+0
La forma en que lo veo, incluida la etiqueta
+1, en realidad prefiero tu explicación. – karim79
Y, por supuesto, si no confía en Google, siempre puede servirlo desde su propia CDN/infraestructura. – mithrandi