Могу ли я использовать ресурс поверх CORS, не раскрывая содержимое этого ресурса?

Question

Допустим, в другом домене есть файл CSS, к которому я хотел бы получить доступ через CORS.

Если бы я владел сервером, предоставляющим файл CSS, можно ли было бы разрешить доменам получать файл CSSи применить его к своей странице, скрывая фактическое содержимое файла CSS / не раскрывая код файла CSS?

Answer 1

CSS работает на интерфейсе . Таким образом, весь код CSS, работающий на веб-сайте (включая CSS с внешней ссылкой через тег <link>), всегда public на веб-сайте. Существует нет способа скрыть код CSS (кроме запутывания, которое было бы довольно бессмысленным).

CORS-запросы выполняются через JavaScript, который также работает на стороне клиента. Таким образом, невозможно сделать запрос CORS без предоставления этой конечной точки - вы можете просто отслеживать трассировку сети, чтобы выяснить, какие конечные точки подвергаются ударам и какие данные передаются им.

Answer 2

можно ли разрешить доменам получать файл CSS и применять его к своей странице

Обычно вы можете загрузить файл CSS из других источников без указания заголовков CORS.

скрывая фактическое содержимое файла CSS / не раскрывая код файла CSS?

Зависит от того, что вы имеете в виду. Они не смогут прочитать файл как текст, если вы не установите заголовки CORS. Однако они смогут проверять стили, применяемые к элементам на странице с помощью JavaScript.