基本上是的，这是风险。如果您选择在安全页面中使用第三方托管的 JavaScript（一个示例是 Google Analytics），则您打开了收集信息的大门。这可能涉及恶意伪造的证书，或者只是谷歌对 ga.js 脚本的更改。

您可以考虑使用 Web 应用程序的流程来尝试推动人们通过不需要安全措施来捕获分析数据的部分，或者您可以考虑使用 Google Analytics for Mobile 设备实施。

不支持 JavaScript 的设备通常无法向 Google 发送分析数据。在这种情况下，Google 提供了替代的服务器端实现示例。请参阅http://code.google.com/apis/analytics/docs/mobile/mobileWebsites.html

在这种情况下，如果您有权更改代码或扩展您的网络应用程序，您可以只向 Google 发送您想要的信息。这显然会要求您的服务器启动与 Google 的连接，这可能会导致负载并应小心保护。

此设计不适用于支持 JavaScript 的 Web 客户端，因此您应该确认它没有违反 Google 的服务条款。

那篇文章简直就是傻。虽然今天仍有机会有人可以伪造证书，但仍有很多箍要先跳

首先只是因为他们有一个证书，他们仍然不能用它做任何事情。他们将不得不更改您的 DNS 以使用他们的服务器（可能通过 DNS 中毒，这在未来应该不会成为问题），以便他们可以在他们的假机器上向您出示他们的证书。

接下来是他们的代码必须专门针对您的站点。假设它是通用的，他们将恶意代码添加到第 3 方 javascript 中，他们可以做的最值得注意的事情（不知道您的网站是什么）是窃取您的 cookie，窃取 DOM/html。如果您只使用 http cookie，他们将无法将会话窃取/克隆到您的站点。基本上他们所拥有的只是阅读支持。假设将 DOM 发送到他们的服务器是通用的，那么对于他们的机器来说可能会占用很多带宽，因为很多站点都使用谷歌分析。

对于一般攻击，我认为没有问题。现在，如果您要求有针对性的观点，那么可能会有一个。假设该人既可以获得证书又可以毒化 DNS，那么代码就有可能从 DOM 中获取敏感数据并通过 ajax 进行查询。但很有可能，破解您的软件、服务器、托管公司（包括使用社会工程）比这样做并专门针对您的网站要容易得多。我认为这不是问题。就像有人用枪闯入您的数据中心并偷走您的硬盘一样。有没有可能，但你真的关心那么小的机会吗？