¿Es posible que alguien modifique el código JQuery de una página remota y haga que llame a las API remotas de una forma diferente a la prevista?
Supongamos que el sitio web www.domain.com tiene un script jquery.js que llama a una API siempre en domain.com pasando un nombre y un apellido:
domain.com/api?name=bla&surname=blo
ahora es posible que alguien modifique el jQuery desde el navegador con algo como Firebug y llame a la API sin nombre ni apellido, por ejemplo, y obtenga una lista completa de personas sin filtrar:
domain.com/api?name=&surname=
Por supuesto, podría revisar mi API para que los dos parámetros estén presentes, pero supongo que no tengo forma de modificar el programa de escucha de la API.
¿Podría mi script jQuery comprobar el dominio desde el que se ejecuta el script? por ejemplo, si alguien guardó mi archivo jQuery localmente y lo ejecutó, ¿se vería en la API remota del mismo modo que si jQuery se ejecutara desde la página web deseada en www.domain.com?
Mi idea es que un script jquery siempre se ejecuta "localmente" ya sea que se descargue desde la página deseada o desde una versión modificada, sin embargo, algunos sitios parecen permitir que una API sea llamada solo desde el script deseado. / p>