我可以通过CORS使用资源而不暴露该资源的内容吗?

时间:2018-09-06 23:18:53

标签: javascript css cors web-development-server

让我们说我想通过CORS访问的另一个域上有一个CSS文件。

如果我拥有提供CSS文件的服务器,那么是否可以允许域获取CSS文件并将其应用于其页面,同时隐藏CSS文件的实际内容/不公开CSS文件的代码?

2 个答案:

答案 0 :(得分:1)

  

是否可以允许域获取CSS文件并将其应用于其页面

您通常可以从其他来源加载CSS文件,而无需指定CORS标头。

  

同时隐藏CSS文件的实际内容/不公开CSS文件的代码?

取决于您的意思。除非您设置CORS标头,否则他们将无法以文本形式读取文件。但是,他们将能够通过JavaScript在页面上检查应用于元素的样式。

答案 1 :(得分:0)

CSS在前端上运行。因此,网站上运行的所有CSS代码(包括通过<link>标签外部引用的CSS)始终在网站上公开。没有没有的方法来隐藏CSS代码(除了混淆,这毫无意义)。

CORS请求是通过JavaScript发出的,JavaScript也在客户端运行。这样,在不暴露该端点的情况下就不可能发出CORS请求-您可以简单地监视网络跟踪,以找出哪些端点受到了攻击以及向它们传递了什么数据。