Leí la pregunta aquí en SO "jQuery Linking vs. Download" y de alguna manera no la entiendo."Misma política de origen" y scripts cargados desde google: ¿una solución vulnerable?
¿Qué ocurre si aloja una página en http://yourserver.com
, pero carga la biblioteca jQuery desde http://ajax.googleapis.com
y luego usa las funciones definidas en el script jQuery?
¿La "misma política de origen" no cuenta en este caso? Quiero decir, ¿puedes hacer llamadas AJAX al http://yourserver.com
?
¿Se está ejecutando el JavaScript considerado como procedente del yourserver.com
?
Mi punto aquí es, usted no sabe lo que el usuario ha descargado de un servidor de terceros (lo siento, Google), ¿y aún el código que se ejecuta en su computadora es tan bueno como el que descargaría de su servidor?
EDITAR: ¿Significa _que si utilizo un contador de estadísticas web de un tercero que no conozco muy bien, podrían "inyectar" algún código y llamar a mis servicios web como si su código fuera parte de ¿mía?
(Si ejecuta http simple, no es así usted sabe de dónde viene el código.) –