不使用Google CDN for jquery打破了不在网页上使用跨域请求的规则。我们是否足够信任Google?
答案 0 :(得分:9)
浏览器本身允许使用外国网站的脚本标签。因为假定您打算加载此功能。加载的脚本不能直接与外部域通信(XHR同源,但CORS除外)。现在,这正是您不希望允许未经检查的用户输入可以从外部站点加载脚本的原因。外国脚本可能会做你不想要的事情,但如果是来自可靠来源,它应该没问题。
如果google被发现通过他们的CDN使用注射,会有严重的反弹,我怀疑它会不会发生,如果确实如此,将会比你甚至注意到这个问题更快地得到纠正。 / p>
答案 1 :(得分:2)
不,它不会破坏跨域请求的规则。当您从Google的CDN中包含jQuery时,您只需在页面中包含一个资源(就像链接到图像一样)。这不属于我假设你引用的Same Origin Policy安全概念,它主要包含XHR(ajax)请求。