Za externí skripty vložené do stránky zodpovídá provozovatel stránky, z bezpečnostního hlediska je to pro uživatele úplně stejné, jako interní skripty.
Informace, které sděluje uživatel prohlížeči, nemají být dostupné všem rozšířením, a rozšíření nemohou s libovolnou stránkou dělat, co je libo – pokud to někde jde aniž by to uživatel pluginu povolil, je to vážná bezpečnostní chyba. Například je to pravděpodobně důvod, proč prohlížeče nezveřejňují API pro správu hesel – aby se minimalizovala možnost nějaké bezpečnostní chyby, která způsobí, že prohlížeč heslo vyzradí pluginu. (Externí správci hesel pak tato omezení obcházejí vkládáním JavaScriptu do všech stránek, takže výsledek je z bezpečnostního hlediska i spolehlivosti ještě horší…)
Zda rozšíření stahuje skript z webu také není tak nepodstatné. Skript přímo v rozšíření je možné zkontrolovat, skript stahovaný z webu může být pokaždé jiný. A při stahování skriptu z webu vzniká nový vektor útoku – podstrčit rozšíření falešný skript.