Старый 15.11.2017, 17:41   #1
Белый Тигр
 
Аватар для Белый Тигр
 
Регистрация: 29.08.2010
Сообщений: 144
Репутация: 25
По умолчанию Есть ли способ запретить обрабатывать контент как JS?

На сайте А лежит файл /some.js с js-кодом, а сайт Б его подключает на свои страницы через <script src="...">.
Можно ли как-то со стороны А, не меняя контент /some.js, сделать так, чтоб браузер пользователей Б не выполнял содержимое /some.js как код? Может http-заголовок есть какой-нибудь волшебный который А может отдавать на запрос /some.js, типа "воспринимать только как текст".
Белый Тигр вне форума   Ответить с цитированием
Старый 15.11.2017, 18:01   #2
crlf
 
Аватар для crlf
 
Регистрация: 29.09.2015
Сообщений: 101
Репутация: 17
По умолчанию

Может CORS-ом блочить? Если script.js, то
Код:
Access-Control-Allow-Origin: http://www.block.com
, иначе *.

Последний раз редактировалось crlf; 15.11.2017 в 18:03..
crlf вне форума   Ответить с цитированием
Старый 15.11.2017, 19:08   #3
Белый Тигр
 
Аватар для Белый Тигр
 
Регистрация: 29.08.2010
Сообщений: 144
Репутация: 25
По умолчанию

К сожалению, ограничения по запрашивающему домену не подходят т.к. запрашиваться файл может откуда угодно - это часть бизнес-логики, однако на конечном сайте не должен выполняться как JS.
Белый Тигр вне форума   Ответить с цитированием
Старый 15.11.2017, 20:31   #4
crlf
 
Аватар для crlf
 
Регистрация: 29.09.2015
Сообщений: 101
Репутация: 17
По умолчанию

Цитата:
Сообщение от Белый Тигр Посмотреть сообщение
К сожалению, ограничения по запрашивающему домену не подходят т.к. запрашиваться файл может откуда угодно - это часть бизнес-логики, однако на конечном сайте не должен выполняться как JS.
Он будет отдаваться только для http://www.block.com, остальные его не получат и следовательно код не будет выполняться. Но это не то, понимаю

Последний раз редактировалось crlf; 15.11.2017 в 20:37..
crlf вне форума   Ответить с цитированием
Старый 15.11.2017, 21:43   #5
crlf
 
Аватар для crlf
 
Регистрация: 29.09.2015
Сообщений: 101
Репутация: 17
По умолчанию

Если отдавать 401 код (без заголовка WWW-Authenticate), скрипт не будет подгружаться, содержимое при этом будет доступно.
Код:
        location /script.js {
            return 401 'alert();';
        }

Последний раз редактировалось crlf; 15.11.2017 в 21:48..
crlf вне форума   Ответить с цитированием
Старый 15.11.2017, 23:55   #6
Beched
 
Регистрация: 06.07.2010
Сообщений: 395
Репутация: 118
По умолчанию

Content-Type: image/jpg
Beched вне форума   Ответить с цитированием
Старый 16.11.2017, 02:32   #7
crlf
 
Аватар для crlf
 
Регистрация: 29.09.2015
Сообщений: 101
Репутация: 17
По умолчанию

Цитата:
Сообщение от Beched Посмотреть сообщение
Content-Type: image/jpg
Да ну блин Так не интересно
crlf вне форума   Ответить с цитированием
Старый 16.11.2017, 10:56   #8
Белый Тигр
 
Аватар для Белый Тигр
 
Регистрация: 29.08.2010
Сообщений: 144
Репутация: 25
По умолчанию

Контент всё равно должен отдаваться как текст
Белый Тигр вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot