JavaScript不能讀取script標籤src檔案內容

通常我們頁面中建立script標籤時要麼src引入外部js檔案：


?




1



<script type="text/javascript" src="jquery-1.9.1.min.js"></script>







要麼直接在標籤內寫內容：


?




1
2
3



<script type="text">
這裡是script標籤裡的內容
</script>







script標籤有一個屬性type，預設值：text/javascript，例如你直接聲明一個script標籤，如果不聲明type標籤就預設為js文檔。


?




1
2
3
4
5
6
7
8
9
10



<script>
    var a = 50;
  
</script>
  
<script type="text/javascript">
  
    alert(a); // 50
  
</script>







當然，你也可以指定它就是純文字：


?




1
2
3
4
5
6
7



<script type="text">
    var a = 50;
</script>
  
<script type="text/javascript">
    alert(a); // 提示沒有定義
</script>








因為第一個script標籤type類型為text，瀏覽器自然就不會把標籤裡的內容當做js文檔處理，也就不會聲明a變數。
當然，如果的script標籤type=text的時候，標籤裡無論寫什麼內容都不會報js語法錯誤：


?




1
2
3



<script>
這裡是script標籤內容，沒有指定type=text，預設瀏覽器當做js文檔來處理於是會報語法錯誤
</script>








聲明為type=text類型，報錯消失：


?




1
2
3



<script type="text">
這裡是script標籤內容，沒有指定type=text，預設瀏覽器當做js文檔來處理於是會報語法錯誤
</script>







 


script理論上也是一個標籤，既然是標籤那我們就可以擷取它的DOM節點：

即使是你聲明的script標籤type=text/javascript 類型，也能擷取擷取：


?




1
2
3
4
5
6
7



<script type="text/javascript">
// 這裡是單行注釋
/**
 * 這裡是多行注釋
 */
var name = "lizhong";
</script>









以上，我們都可以通過dom節點擷取script的內容，但無法擷取src指定檔案的內容。比如：


?




1
2
3
4
5
6
7



<script type="text/javascript" src="a.js">
// 這裡是單行注釋
/**
 * 這裡是多行注釋
 */
var name = "lizhong";
</script>







a.js檔案內容：


?




1



var dec = "這裡是a.js檔案內容";







執行：

我們發現居然還是列印頁面上聲明script時往裡寫的內容，即使我像正常情況聲明script標籤：


?




1



<script type="text/javascript" src="a.js"></script>







或者使用type=text類型：


?




1



<script type="text" src="a.js"></script>







結果還是擷取不到a.js的內容：

然而有趣的是，FireFox的FireBug工具顯示script標籤裡的內容就是src指定的檔案內容：

但你通過dom節點的innerHTML 屬性依然讀到的內容只是在頁面標籤裡實際寫入的內容。
這就引發了一個問題：
假如要是能動態讀取script標籤src指向路徑檔案的內容，那麼就會非常的不安全。這樣，我就會輕易的擷取到所有登入我網站使用者電腦中的所有檔案（至少文字檔的內容）。
如我產生這麼一個標籤，假定是window平台使用者訪問我網站，並且擁有D磁碟路徑：


?




1



<script type="text" src="file:///D:/"></script>







它能把我D盤下所有檔案目錄都能擷取到：

然後擷取這個script節點內容，經過字串正則處理讀到一大堆檔案名稱，得到檔案名稱後就容易擷取檔案的內容了。

可惜，大多瀏覽器都堵住了這個漏洞，別做夢了！