Názor k článku Bezpečnější web s hlavičkou Content Security Policy od Filip Jirsák - Už tě vidím, jak kontroluješ celé jQuery, jestli...

Už tě vidím, jak kontroluješ celé jQuery, jestli tam není nějaká bota
Když si jQuery nahraju na vlastní servery, tak se ty boty zázračně odstraní? Připomínám, že celou dobu řešíme rozdíl v nahrávání skriptů z externích domén (obvykle z CDN) proti nahrávání z vlastního webu.

s každým patchem měníš hashe
Pokud nepoužívám žádný package manager, „s každým patchem“ zvedám verzi tak, že jdu na distribuční stránku jQuery, kliknu na požadovanou verzi a objeví se mi okno s HTML tagem, který stačí vložit do stránky. Například:

<script
  src="https://code.jquery.com/jquery-3.1.1.min.js"
  integrity="sha256-hVVnYaiADRTO2PzUGmuLJr8BLUSjGIZsDYGmIJLv2b8="
  crossorigin="anonymous"></script>

Co myslíte že je snazší – nechat tam ten atribut integrity, nebo ho pokaždé odmazávat?

aby jely weby tvých externích zdrojů
Když neběžel Google, nefunkčnost nějakého webíku opravdu nikoho netrápila.

aby tam vždy byly správné verze
Když se objeví odkaz na novou verzi jQuery na CDN, je ta verze v CDN už dostupná.

aby jim je nikdo nenapadl
Stačí si porovnat pravděpodobnost, že někdo úspěšně napadne CDN a že někdo napadne můj server. Navíc i v případě napadení toho skriptu v CDN se ten skript nanejvýš nespustí, protože nebude sedět jeho hash.