Va anche notato che anche se gli script non possono vedere i cookie degli utenti (se si utilizza HttpOnly), possono comunque vedere l'intero DOM (contenuto della pagina web) e possono inviare richieste per conto dell'utente. Il browser includerà automaticamente i cookie con ogni richiesta al tuo server, anche se lo script che invia la richiesta non può vedere i cookie. Dal punto di vista del server, questo è identico all'utente che prende l'azione da solo.
Includere script di terze parti è pericoloso! Non farlo se non ti fidi sinceramente della fonte della sceneggiatura. Qualsiasi script di terze parti che includi nella tua pagina è, da un punto di vista della sicurezza, continuamente nella posizione di avere un exploit XSS (Cross-Site Scripting) di successo sui tuoi utenti ... e sta a loro decidere cosa farne.
Anche se la fonte dello script non agisce maliziosamente , possono comunque distruggere il tuo sito letteralmente per caso se c'è un errore nello script o in un server se ne va o qualcosa. Ad esempio, considera quella volta che Facebook ha interrotto il Web perché lo script che inserisce il loro pulsante Like
su una pagina ha funzionato male.
Puoi mitigare questo rischio in qualche modo ospitando script tu stesso, ma a volte non è un'opzione, o talvolta lo script stesso estrae risorse esterne.