Der har været et par lettere skræmmende sager her på det sidste med sider der har lækket kreditkort informationer pga. et javascript der var injektet på siden.
Det betyder ikke nødvendigvis der har været hackere på færde, - det er efterhånden ikke unormalt, at det er javascript filer hostet uden for ens eget site der er blevet ændret, og så går man fra at have et godt sikkert site, til et site der stort set kan lække hvad som helst. Jeg talte med en udvikler forleden der sagde at det ikke var et issue, da de altid i deres løsninger åbnede et ny betalingsvindue hos betalingsudbyderen. Så langt så godt (Selvom det nu ser mere lækkert ud med betaling integreret på siden selv), - men udfordringen her er, at stort set al anden information du indtaster på siden, såsom email, navn og andre kontaktoplysninger vil kunne blive sendt til hvem som helst.
Hvis du vil undgår at fremmede lige pludselig kører scripts på dit site uden du ved det, så er Content Security Policy (CSP) din ven.
Med ganske få ændringer i dine headers kan du instruere browseren til kun at loade scripts du stoler på.