È possibile che qualcuno modifichi il codice JQuery di una pagina remota e faccia in modo che chiami le API remote in un modo diverso da quello previsto?
Supponiamo che il sito www.domain.com abbia uno script jquery.js che chiama sempre un'API su domain.com passando un nome e un cognome:
domain.com/api?name=bla&surname=blo
ora è possibile per qualcuno modificare il jQuery dal browser con qualcosa come Firebug e chiamare l'API senza nome e cognome per esempio e ottenere così un intero elenco di persone senza filtro:
domain.com/api?name=&surname=
Naturalmente potrei verificare nella mia API che siano presenti i due parametri, ma suppongo di non avere modo di modificare il programma dell'API di ascolto.
Il mio script jQuery potrebbe controllare il dominio da cui viene eseguito lo script? ad esempio se qualcuno ha salvato il mio file jQuery localmente e l'ha eseguito, sarebbe simile all'API remota come se il jQuery fosse stato eseguito dalla pagina Web desiderata su www.domain.com?
La mia idea è che uno script jQuery venga sempre eseguito "localmente" sia che venga scaricato dalla pagina desiderata o da una versione modificata, tuttavia alcuni siti sembrano essere in grado di consentire a un'API di essere chiamata solo dallo script previsto.