Ça m'a toujours semblé très con comme idée d'inclure dynamiquement sur son propre site web du code exécutable qui vient d'autres sites. Ils pourraient exécuter n'importe quoi dans vos pages, voir même uniquement pour certaines adresses IP ou utilisateurs.
Les grandes excuses pour utiliser des CDN pour distribuer du javascript c'est :
1) c'est plus rapide parceque c'est déjà chargé dans le cache quand l'internaute a visité un autre site.
2) ça offre une meilleure sécurité parce que c'est toujours à jour.
Le 1 est faux depuis que les navigateurs font depuis un moment de la ségrégation des caches. La librairie, même si elle est à la même URL, sera rechargée par le navigateur en cas de visite d'un site différent.
Et le 2 n'est plus tout à fait vrai, avec l'exemple de cet internaute qui signale de polyfill.io (un CDN qui distribue des librairies javascript) vient d'être cédé par son propriétaire à une société chinoise.
Vous imaginez le code que cette société pourra faire sur tous les sites, pas mis à jour, qui utilisent encore polyfill.io pour aller chercher le javascript à exécuter ? Tout est possible.
(Source : https://github.com/polyfillpolyfill/polyfill-service/issues/2834)
(Permalink)