GuiGui's Show

+ La bibliothèque Polyfill détournée, des centaines de milliers de sites touchés
+ Automatically replacing polyfill.io links with Cloudflare’s mirror for a safer Internet

Comme l'écrit SebSau :

Ça m'a toujours semblé très con comme idée d'inclure dynamiquement sur son propre site web du code exécutable qui vient d'autres sites. Ils pourraient exécuter n'importe quoi dans vos pages, voir même uniquement pour certaines adresses IP ou utilisateurs.
Les grandes excuses pour utiliser des CDN pour distribuer du javascript c'est :
1) c'est plus rapide parceque c'est déjà chargé dans le cache quand l'internaute a visité un autre site. […] Le 1 est faux depuis que les navigateurs font depuis un moment de la ségrégation des caches. La librairie, même si elle est à la même URL, sera rechargée par le navigateur en cas de visite d'un site différent.
2) ça offre une meilleure sécurité parce que c'est toujours à jour. [Bah non, la preuve]

Sans compter l'atteinte à la vie privée.

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) préconise de limiter au strict nécessaire l’inclusion de contenus tiers et de s’assurer de la fiabilité de leurs fournisseurs (source, R61). La même présente comme souhaitable l'absence de scripts tiers lors de l'affichage ou de la saisie de données sensibles, comme des mots de passe, des infos bancaires, etc. (même source, R14). La CNIL en fait de même (source, point 26). La CNIL prend en considération les recommandations de l'ANSSI pour évaluer la sécurité des données à caractère personnel (exemple, point 83).

Cela pose aussi d'autres problèmes techniques. Soit le site web interne à une entité. Il recourt à des ressources web externes (scripts JS, CSS, etc.). Donner accès à ce site web depuis un réseau interne contraint par, entre autres un proxy, induit, de facto, une plus grande ouverture dudit réseau. Et des complications inutiles.