绕过 Chrome 的 CORB 功能
Bypassing Chrome's CORB Feature
我正在尝试加载一些外部 JavaScript,但 Chrome 没有。
需要说明的是,我正在使用小书签创建一个新的脚本元素,将 src 属性更改为我的源代码,然后将其附加到 header.
这是代码:
javascript:var script=document.createElement("script");script.src="URL";document.getElementsByTagName('head')[0].appendChild(script);
不幸的是,Chrome 的 Cross-Origin 读取阻塞算法阻止我将源代码注入 header。我认为这是因为所述源文档只是纯文本,而不是可接受的 JavaScript 文件。
有什么解决方法吗?
有很多网站因为 CSP(内容安全策略)不允许您从其他 URLS 加载脚本。您应该检查您尝试将脚本注入的网站的 CSP header。
关于 CSP 的更多信息:
更新
我看到你编辑了你的问题(在我最初的回答之后),现在你问的是关于 CORB 问题的具体问题。在这种情况下,您必须确保您的脚本返回正确的 content-type header。如果你的脚本没有 return text/javascript chrome 将不会执行它。
如何提供 JavaScript 文件?如果您愿意提供更多详细信息,我们可以尽力提供帮助。
通常服务器会为 JS 文件提供正确的 header。有一些例外。例如当用户将 JS 文件上传到 GitHub 时,GitHub 将在没有内容类型 header 的情况下提供它。这是因为他们不希望只信任 GitHub 的网站管理员面临用户在其网站上执行用户上传脚本(至 GitHub)的风险。
更多信息:
我正在尝试加载一些外部 JavaScript,但 Chrome 没有。
需要说明的是,我正在使用小书签创建一个新的脚本元素,将 src 属性更改为我的源代码,然后将其附加到 header.
这是代码:
javascript:var script=document.createElement("script");script.src="URL";document.getElementsByTagName('head')[0].appendChild(script);
不幸的是,Chrome 的 Cross-Origin 读取阻塞算法阻止我将源代码注入 header。我认为这是因为所述源文档只是纯文本,而不是可接受的 JavaScript 文件。
有什么解决方法吗?
有很多网站因为 CSP(内容安全策略)不允许您从其他 URLS 加载脚本。您应该检查您尝试将脚本注入的网站的 CSP header。
关于 CSP 的更多信息:
更新
我看到你编辑了你的问题(在我最初的回答之后),现在你问的是关于 CORB 问题的具体问题。在这种情况下,您必须确保您的脚本返回正确的 content-type header。如果你的脚本没有 return text/javascript chrome 将不会执行它。
如何提供 JavaScript 文件?如果您愿意提供更多详细信息,我们可以尽力提供帮助。
通常服务器会为 JS 文件提供正确的 header。有一些例外。例如当用户将 JS 文件上传到 GitHub 时,GitHub 将在没有内容类型 header 的情况下提供它。这是因为他们不希望只信任 GitHub 的网站管理员面临用户在其网站上执行用户上传脚本(至 GitHub)的风险。
更多信息: