Sicurezza JS esterna

Questo ha più a che fare con la gestione del rischio. Non hai alcun contratto con Facebook o Twitter. Quindi hai il rischio che possano cambiare il contenuto del file JavaScript senza che tu lo sappia. Questo può essere dannoso o accidentale, in entrambi i casi non si ha il controllo di questo rischio.

Quindi, a meno che tu non abbia un contratto con la parte esterna che trasferisce la responsabilità a loro, non c'è nient'altro che tu possa fare e dovresti immagazzinare le fonti localmente.

L'hosting locale non impedirà loro di fare qualcosa di malevolo. In questo caso, se stai importando un file JavaScript da una fonte esterna, nella tua pagina, dovrai fidarti al 100% del codice JavaScript poiché questo script verrà eseguito all'interno della tua stessa origine.

Ospitarli localmente potrebbe fornire qualche vantaggio nel caso in cui la fonte di cui ti fidi sia compromessa. Il massimo che puoi fare è rivedere manualmente il file esterno, per bug e backdoor, e quindi controllare gli aggiornamenti di quegli script e rivedere le modifiche. Ma questo può essere un vero dolore! La soluzione migliore è fidarsi dell'origine e MAI MAI includere JavaScript da un'origine sconosciuta nella tua applicazione!

Tutti i post sopra riportati sono corretti in quanto è necessario affidarsi alla terza parte per utilizzare in modo sicuro le risorse js esterne. L'unica cosa che vorrei aggiungere a questo è assicurarsi che tu stia accedendo a quelle risorse su SSL e che sia un'implementazione aggiornata (corretta suite di crittografia, TLS v1, ecc.). Se hai intenzione di fidarti della terza parte, SSL è necessario per assicurarti che stia effettivamente recuperando la risorsa da quella stessa terza parte.