1- Yapılabilir ve yapılıyorda. W*rez diye tabir ettiğimiz yazılımların kırılmış halinin hemen hepsinde bu şekilde bir güvenlik zafiyetine rastlamanız olası. Burada anahtar kelimemiz; Backdoor.

2- Eğer dosya sizin değilse her şekilde temkinli yaklaşmak lazım. Her ne kadar görünmüyor kısmı geçersiz olsa da (en azından ben rastlamadım), boş olmayan dosyalar içerisinde enfekte kod mümkün.

3- Mümkün hatta dosyanın orijinal sitesi üzerinde bile mümkün. Yukarıda örneklerde CDN'den bahsedilmiş, burada sorulan soru aslında biraz farklı geldi bana. Örneğin; Bir JS kütüphanesi yazdım ve bunu kendi websitem üzerinden sunuyorum. Eğer bir zafiyet ile websitesi üzerinden sunduğum bu JS kütüphanesi manipüle edilirse bu durumda sizin sitenizde kullandığınız ve benim websitem üzerinden kaynak aldığınız dosya enfekte olacaktır. Bunu engellemek için HTTP header'ları üzerinde oynayabilirsiniz ancak bu durumda web tarayıcısının CORPS sistemi devreye girecek ve uzaktan dosya çalıştırmasını engelleyecektir. Peki harici bir kütüphane kullanmak isterseniz ne olacak? Bu durumda açık kaynak ve güvenilir olan kütüphaneleri tercih etmelisiniz. İşte CDN kısmı burada devreye girecektir. Ve mümkünse CSRF token'ı barındıran kütüphaneleri tercih etmelisiniz. Bunun en güzel örneğini Bootstrap'de görebilirsiniz.