Seguridad externa de JS

Esto tiene más que ver con la gestión de riesgos. No tienes ningún contrato con Facebook o Twitter. Por lo tanto, existe el riesgo de que cambien el contenido del archivo JavaScript sin que usted lo sepa. Esto puede ser malicioso o accidental, de cualquier manera, usted no tiene control de este riesgo.

Entonces, a menos que obtenga un contrato con la parte externa que le transfiera la responsabilidad, no hay nada más que pueda hacer y debería almacenar las fuentes localmente.

El hospedaje local no les impedirá hacer nada malicioso. En este caso, si está importando un archivo JavaScript desde una fuente externa a su página, tendrá que confiar al 100% en el JavaScript, ya que este script se ejecutará en su propio origen.

Alojarlos localmente puede proporcionar alguna ventaja en caso de que la fuente en la que confías sea comprometida. Lo máximo que puede hacer es revisar manualmente el archivo externo, en busca de errores y puertas traseras, y luego revisar las actualizaciones de esos scripts y revisar los cambios. ¡Pero esto puede ser un verdadero dolor! La mejor solución es confiar en la fuente y NUNCA NUNCA incluya JavaScript de una fuente desconocida en su aplicación.

Todas las publicaciones anteriores son correctas en el sentido de que debe confiar en el tercero para poder utilizar de forma segura los recursos js externos. Lo único que agregaría a eso es asegurarme de que está accediendo a esos recursos a través de SSL y de que es una implementación actualizada (conjunto de cifrado adecuado, TLS v1, etc.). Si va a confiar en el tercero, se necesita SSL para asegurarse de que está extrayendo el recurso de ese mismo tercero.