从 ajax.googleapis.com 引用 jQuery 是不好的做法吗？ [关闭]答案

【问题标题】：Is referencing jQuery from ajax.googleapis.com bad practice? [closed]从 ajax.googleapis.com 引用 jQuery 是不好的做法吗？ [关闭]
【发布时间】：2010-12-09 05:21:56
【问题描述】：

我看到有人建议通过以下方式引用 jQuery：

<script type="text/javascript" 
    src="http://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.min.js">
</script>

大多数人的想法是在他们的客户端上已经有一个缓存副本。

如果黑客替换了谷歌服务器上的那个文件怎么办？他们可以从 $(document).ready() 做无数“邪恶”的事情。

我是偏执狂还是这是不好的做法？

编辑：显然，这是一个见仁见智的问题。但我认为最好的答案是 ceejayoz 评论

这对银行来说可能是非法的。查看您的本地隐私和数据安全法律。

【问题讨论】：

欺骗：stackoverflow.com/questions/2093566/jquery-linking-vs-download
@naivists：虽然问题很相似，但这个问题特别关注安全性，而您链接的问题则没有。

标签： javascript jquery security

【解决方案1】：

不，请记住，少数用户（极少数）可能已屏蔽了 Google。如果您担心黑客会接管 Google 的 jQuery 源代码，那么您不应该在任何地方在线做任何事情都感到安全。

【讨论】：

如果您使用内容过滤代理，可能会发生这种情况。不是因为 google 不好，而是因为代理过滤掉了 javascript...在这种情况下是... jQuery :-)
“你不应该觉得在网上任何地方做任何事情都不安全”我不这样做。
@SethReno，但你坚持使用你的真实名字？ :)
lol 赛斯被带走了。请不要追捕我并杀了我:)
@Seth：你可以使用Seth2，或SethR。

【解决方案2】：

Google 比他们的 jQuery 主机有远更多诱人的目标（除非它被银行使用），所以我不会太担心。

另外，我猜你的网络服务器比谷歌的服务器更容易破解。

【讨论】：

我的网络服务器也提供了一个远没有那么诱人的目标，因为除了我之外没有人引用我的本地 jQuery 副本，而不是针对 Google 的数千个站点。关于 Google 更诱人的目标，您可能是对的（另请参阅：涉及当今 IE 修复的最新新闻报道）
所以这对银行来说是个坏习惯？
这对银行来说可能是非法的。检查您当地的隐私和数据安全法律。
我发现银行类比实际上非常有效：银行对劫匪来说是极具吸引力的目标，但也受到了极好的保护。我床垫下的袜子对强盗来说是一个不太有吸引力的目标，但更容易拿到。在这个类比中，谷歌可能非常接近诺克斯堡或市中心的一家非常大的银行。并非完全不可能被闯入，但极不可能。

【解决方案3】：

出于这个原因，我个人选择自托管 jquery 库文件。 “如果”文件被黑了，是的，我可以看到它存在安全风险。另外，如果文件因任何原因对用户不可用，您的所有客户端功能都会中断。这不太可能，但仍然是我不喜欢的风险。

通过引用外部脚本为用户节省的少量时间不值得 IMO 权衡。除了第一次加载脚本核心之外，无论存储在哪里，缓存都是一样的......

【讨论】：

按照这个逻辑，你难道不想把它托管在你的服务器上，因为它可能会被黑客入侵吗？
我只提到黑客攻击是因为 OP 询问了它。我主要关心的是可用性。如果 jQuery 在我自己的服务器上不可用，则站点的其余部分可能也是由于技术问题。我宁愿这个，而不是登陆我网站的奇怪访问者，无法访问谷歌 jQuery 副本并且所有预期的功能都失败了。人们已经习惯了这里和那里的网站。无论如何，我宁愿这是一个“功能失调”的网站恕我直言......
如果在没有 JavaScript 的情况下“所有预期功能都失败”，那么您的网站就是失败的原因。您应该使用渐进增强功能让非 JS 用户能够访问该站点。
@ceejayoz 我意识到该网站必须优雅地降级，但是对于 95% 启用了 javascript 的人来说，我更喜欢在不依赖外部参考的情况下工作的“更好”体验。
为什么人们如此热衷于支持 1%（或者可能更少）没有 javascript 的用户，却讨厌支持 10-20% 使用 IE6 的用户？