jsDelivrはnpmやGitHubのjsファイルをコピーして application/javascript として再配布してくれるCDNで、ちゃんとパスを確認していれば /npm/jquery みたいな公式のパッケージとかリポジトリを使うことになるんだけど悪意あるGitHubリポジトリのパスでも使えてしまう。そしてjsDelivrはGitHub由来でもnpm由来でも同じドメインで配布するのでCSPとかをすり抜けやすい