是从ajax.googleapis.com糟糕的做法引用jQuery吗?

时间:2010-01-21 20:32:40

标签: javascript jquery security

我看过它建议通过以下方式引用jQuery:

<script type="text/javascript" 
    src="http://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.min.js">
</script>

这个想法是大多数人已经在他们的客户端上有一个缓存副本。

如果黑客在谷歌的服务器上替换该文件怎么办?他们可以从$(document).ready()中做无数个“邪恶”的事情。

我是偏执狂还是这种不良做法?

编辑: 显然这是一个意见问题。但我认为最好的答案是ceejayoz评论

  

银行可能违法。校验   您当地的隐私和数据安全   法律。

3 个答案:

答案 0 :(得分:4)

不,请记住,少数用户(极少数用户)可能会被谷歌屏蔽。如果您担心黑客接管Google的jQuery源代码,那么您无需在网上任何地方做任何事情。

答案 1 :(得分:3)

谷歌比他们的jQuery主机具有更诱人的目标(除非它被银行使用),所以我不会太担心。

另外,我猜你的网络服务器比谷歌的服务器更容易破解。

答案 2 :(得分:2)

就我个人而言,我个人选择自行托管jquery库文件。 “如果”该文件被黑客攻击是的,我可以看到它存在安全风险。此外,如果文件由于任何原因变得不可用,则所有客户端功能都会中断。这不太可能,但仍然是我不喜欢的风险。

通过引用外部脚本为用户节省的少量时间不值得权衡IMO。除了脚本核心的第一次加载,无论在哪里存储,缓存都是相同的......