Na várj, itt két különböző architektúra elemről beszélünk.
A CDN egy elosztott cache réteg, ami mögött van egy tartalom szolgáltató (webszerver), ami felelős azért, hogy mi megy kiszolgálásra és az milyen cache policy mellett.
Az, hogy a külső függőségeidről csinálsz e másolatot a saját webszerveredre vagy sem, az egy független probléma attól, hogy skálázási vagy DDoS védelmi szempontból raksz e elé CDN-t.
A polyfill egy ügyes, de security szempontból eredetileg is igencsak megkérdőjelezhető szolgáltatással állt elő, a "webszerverén" módosított js verziókat készített röptében, amiket egyébként a Cloudflare-en mint CDN-en keresztül terített, ezért tudta a CF URL rewrite-tal kidobni őket