Excusez la question noob.

De nombreux sites Web chargent les bibliothèques javascript à partir d’un réseau de diffusion de contenu (à partir d’une URL qui appartient même à un domaine différent).

Pouvez-vous nous expliquer en quoi c’est sécuritaire? N’ouvre-t-il pas la porte à des attaques de script de site croisées ? Pourquoi le navigateur ne le rejette-t-il pas simplement car il échoue à une même politique d’origine ?

Quelles sont les règles exactes et pourquoi est-ce sûr?

Quel est le risque que lorsque je place une annonce sur ma page, la société d’annonce me dit de charger un script.js de leur CDN, puis que le script regarde les DOM de mon site Web et renifle l’entrée de l’utilisateur dans mes formulaires. Possible ou pas ?

1 réponse


Salut,

Les CDN servent à faire du cache, si plusieurs sites utilisent le même CDN, ça mettre en cache le fichier et il ne sera pas chargé sur les autres sites.

Ils pourraient regarder tes formulaires et récupérer les identifiants, mais ils le font pas, car ils perdraient leur crédibilité.
A toi de sécurisé ça en mettant des règles CSP pour autorisé que ce que tu souhaites