让我们说我想通过CORS访问的另一个域上有一个CSS文件。
如果我拥有提供CSS文件的服务器,那么是否可以允许域获取CSS文件并将其应用于其页面,同时隐藏CSS文件的实际内容/不公开CSS文件的代码?
答案 0 :(得分:1)
是否可以允许域获取CSS文件并将其应用于其页面
您通常可以从其他来源加载CSS文件,而无需指定CORS标头。
同时隐藏CSS文件的实际内容/不公开CSS文件的代码?
取决于您的意思。除非您设置CORS标头,否则他们将无法以文本形式读取文件。但是,他们将能够通过JavaScript在页面上检查应用于元素的样式。
答案 1 :(得分:0)
CSS在前端上运行。因此,网站上运行的所有CSS代码(包括通过<link>
标签外部引用的CSS)始终在网站上公开。没有没有的方法来隐藏CSS代码(除了混淆,这毫无意义)。
CORS请求是通过JavaScript发出的,JavaScript也在客户端运行。这样,在不暴露该端点的情况下就不可能发出CORS请求-您可以简单地监视网络跟踪,以找出哪些端点受到了攻击以及向它们传递了什么数据。