> CDNをクラックされてmoment.jsを差し替えられたら、
> >>391のコードを採用しているサイトを見ているクライアントは
> いい感じにXSSのボットネットになっちまうだろ。

例えて言うならば、家の中でお金を金庫に入れていれば、
家に入られても、お金は盗まれない。と言ってるようなもんかな。

お金は盗まれなくても、家の中に入られた時点で
いろんなものは盗まれるし、隠しカメラしかけて
金庫の暗証番号を盗むことだってできるだろ



それと同じでCDNをクラックされた時点で、どんな対応をしたところで
XSSのボットネット(なにそれ?w)どころか
もっと大きなセキュリティ問題が発生する。

仮にJavaScript使わなかったとしても、サーバーをクラックされたら
勝手にJavaScript埋め込まれるしな。