Background
Una discusión acerca de no buscar archivos JavaScript de otros sitios web ( enlace ) me hizo pensar .
Se mencionan razones de rendimiento y costo que pueden tener sentido tener algunos scripts alojados por terceros.
Pregunta
¿Existe una forma existente de verificar que el JavaScript malintencionado no haya cambiado JavaScript (o quizás incluso imágenes, otros datos)?
Desde lo alto de mi cabeza, diría que puedes hacer eso con websockets para descargar el script y luego verificar su hash, insertarlo en HTML. Tal vez. No recuerdo ninguna solución integrada, como quizás < script src="https://foo/bar.js" hash="$ 5 $ 0xf00 ... $ 0xbaa ..." > < / script > .