"Misma política de origen" y scripts cargados desde google: ¿una solución vulnerable?

Question

Leí la pregunta aquí en SO "jQuery Linking vs. Download" y de alguna manera no la entiendo.

¿Qué ocurre si aloja una página en http://yourserver.com, pero carga la biblioteca jQuery desde http://ajax.googleapis.com y luego usa las funciones definidas en el script jQuery?

¿La "misma política de origen" no cuenta en este caso? Quiero decir, ¿puedes hacer llamadas AJAX al http://yourserver.com?
¿Se está ejecutando el JavaScript considerado como procedente del yourserver.com?

Mi punto aquí es, usted no sabe lo que el usuario ha descargado de un servidor de terceros (lo siento, Google), ¿y aún el código que se ejecuta en su computadora es tan bueno como el que descargaría de su servidor?

EDITAR: ¿Significa _que si utilizo un contador de estadísticas web de un tercero que no conozco muy bien, podrían "inyectar" algún código y llamar a mis servicios web como si su código fuera parte de ¿mía?

Answer 1

El propietario del sitio http://yourserver.com/ debe confiar en el contenido al que hace referencia desde otros servidores (en este caso, de Google). La misma política de origen no se aplica a las etiquetas "script".

Por supuesto, los scripts de los servidores extranjeros (una vez cargados) tienen acceso a todo el DOM: por lo tanto, si el contenido foráneo está en peligro, puede haber exposiciones de seguridad.

Como con muchas cosas en el mundo de la web, se trata de trust y gestión continua.

Editar:

¿Quiere decir _that si uso una red estadísticas mostrador de una tercera parte que no sé muy bien, puede ser que "inyectar" un cierto código y poner en mis servicios web como si su código fuera parte mío?

Sí.

Answer 2

Sí, la política no se aplica a las etiquetas <script>.

Si alguien ha podido hackear la tienda de scripts de google, afectaría a cada página servida desde cada dominio, que usa google.com como su host para scripts.