“同源策略”和脚本从谷歌下载 - 脆弱的解决方案吗？

Question

我在SO“ jQuery的链接与下载”，我读到这里的问题不知何故不明白这一点。

如果你的主机上http://yourserver.com一个页面，但是从http://ajax.googleapis.com负荷jQuery库，然后使用jQuery脚本定义的函数，会发生什么？

不“同源策略”在此情况下，算不算？我的意思是，你可以让AJAX调用回http://yourserver.com？点击 是JavaScript正在执行视为由yourserver.com来？

在这里我想说的是，你不知道什么是用户已经从一些第三方服务器（对不起，谷歌）下载，仍然是他的计算机上执行的代码是不如一个，他会从你的服务器上下载<？ / p>

编辑：这是否意味着_that如果我使用一个网统计从第三方不知很好对付，他们可能会“注入”一些代码，调用到我的网络服务，如果他们的代码是一部分矿的吗

Answer 1

站点的所有者 http://yourserver.com/ 应该相信内容从其他服务器它的引用（在这种情况下，谷歌的）。同源策略并不适用于“脚本”标签。

当然，外部服务器（一旦加载）具有访问整个DOM的脚本：。所以，如果外部内容被破坏，可以存在安全风险

与在网络世界很多东西，把它归结为信任并持续管理。

修改：

  

这是否意味着_that如果我使用一个网络   统计数据从第三方I计数器   不知道得非常好，他们可能   “注入”一些代码，调用到我   Web服务作为他们的代码是否是部分   的矿

是

Answer 2

接听编辑点评：是的。除非计数器被包裹在一个iframe标签，这是因为如果它是你的网站的一部分，并可以调用到网络服务，访问你的饼干等。

Answer 3

是，该政策并不适用于<script>标签。

如果有人能够破解谷歌的脚本商店，它会影响从每一个域提供的每一页，使用google.com作为其主机的脚本。