“同源策略”和从谷歌加载的脚本 - 一个易受攻击的解决方案？

Question

我在SO“jQuery链接与下载”中读到了这个问题，但不知何故我不知道不明白。

如果您在 http://yourserver.com 上托管页面，但从 http://ajax.googleapis.com 加载 jQuery 库，然后使用定义的函数，会发生什么情况在 jQuery 脚本中？

在这种情况下“同源策略”不算吗？我的意思是，您可以对 http://yourserver.com 进行 AJAX 调用吗？
正在执行的 JavaScript 是否被视为来自 yourserver.com？

我的观点是，您不知道用户从第三方服务器（对不起，谷歌）下载了什么，但在他的计算机上执行的代码仍然与他从您的服务器下载的代码一样好？

编辑：这是否意味着如果我使用我不太了解的第三方的网络统计计数器，他们可能会“注入”一些代码并调用我的网络服务，就好像他们的代码是我的一部分一样？

Answer 1

网站 http://yourserver.com/ 的所有者应信任其从其他服务器引用的内容（在本例中，谷歌的）。同源策略不适用于“script”标签。

当然，外部服务器的脚本（一旦加载）可以访问整个 DOM：因此，如果外部内容受到损害，可能会出现安全漏洞。

与网络世界中的许多事情一样，这取决于信任和持续管理。

编辑：

这是否意味着_如果我使用网络
来自第 3 方的统计计数器 I
不太了解，他们可能
“注入”一些代码并调用我的
Web 服务就好像它们的代码是一部分一样
我的？

是的。

Answer 2

回答编辑评论：是的。除非计数器包含在 iframe 标记中，否则它就像您网站的一部分一样，可以调用您的 Web 服务、访问您的 cookie 等。

Answer 3

是的，该政策不适用于

如果有人能够破解 google 的脚本存储，它将影响每个域提供的每个页面，这些域使用 google.com 作为脚本的主机。