Third party CSS is not safe - JakeArchibald.com

Maieuh…

Il est possible de faire un keylogger en CSS…

L’article, globalement, suggère (à juste titre) que si on utilise des scripts externes, ça revient à donner les clés de son site à quelqu’un d’autre (celui qui gère ledit script : JS peut tout faire sur la page, en fait, y compris remplir des champs, modifier des formulaires, faire des requêtes…).

Utiliser des styles externes semble moins risqué, mais il reste tout de même possible de faire beaucoup de choses… Le keylogger est juste un exemple.

La conclusion à tirer est qu’il faut tout héberger chez soi. Et surtout, comme d’hab, faire attention à ce qu’on récupère : un fichier CSS téléchargé puis hébergé sur son site peut très bien lui-même faire des includes() ailleurs, y compris sur des images, des svg…