Научный форум dxdy

Похоже, это с подачи гугла, решившего осчастливить web новой технологией, теперь в коде страниц наблюдается такое явление типа blob, скрывающее от просмотра код того зачастую сомнительного содержимого, которое находится в нем. Что, например, используется отмороженными рекламщиками для залива реклам по всей странице на некоторых сайтах.
Существуют ли способы чтения сторонними скриптами содержимого blob-ов?

Самое прostoe в html5 (никакого jafaskripta)

Вы уже второй раз оффтопите про свой summary. Это прикол такой? Тем более странно, что вы достаточно щепетильно относитесь к соотнесенности сообщения топику других юзеров.

gevaraweb
Я привел пример создания блоба и не считаю, что это был offtop. Если вы так считаете то нажмите красную кнопочку

Это не блоб вообще ни в каком смысле. Блоб - это бинарный объект, в данном контексте, очевидно, имеется в виду Blob из HTML5 File API. Красной кнопочки не было, но действительно, воздержитесь от оффтопа.

А в каком виде у Вас блоб? Если есть javascript-объект, то его можно прочитать с помощью FileReader. Если есть blob URL типа blob:https://example.org/12345678-1234-5678-9876-543212345678, то его можно использовать в ajax запросе и получить данные, надо только все делать из контекста страницы.

Был совершенно не в теме, но и то нашёл немного ответов на SO:
https://stackoverflow.com/questions/30864573/what-is-a-blob-url-and-why-it-is-used
https://stackoverflow.com/questions/14952052/convert-blob-url-to-normal-url
некоторой полезности.

(Оффтоп)

Karan
Да, этот всё более массово распространяющийся случай, когда какие-либо параметры в присылаемом серверами исходном коде страницы завернуты в нечитаемую форму с блоб-идентификатором.
На пробу, в целях обеспечения нужного контекста, использовал следующий код для проверки якобы существующей возможности чтения блоб данных через запрос:

Ну и в результате в консоли имеем NetworkError: A network error occurred. и запрос не производится. То ли не понимает протокола "blob:", то ли из-за кроссдоменных ограничений безопасности: другой протокол = другой домен, но тогда бы ругалось типа "security restriction", так что скорее первое. Хотя вариант со вставкой скрипта в тело страницы куда уж контекстнее?
А если выкинуть "blob:" из адреса, заменив xhr.open('GET', document.getElementsByTagName('video')[0].src);\ на
xhr.open('GET', document.getElementsByTagName('video')[0].src.replace('blob:',''));\
Тогда запрос нормально едет, но не в блоб, а на адрес http://site.com/blob-иден-ти-фи-ка-тор
И приезжает, что там обычно сайты по таким адресам отдают - код страницы 404 и т.п. (тут в алерте этот код страницы оказывается кодирован в base64)

Ну полезность их явно недостаточна, так что есть другой вариант - что подобные "ответы" могут разбрасываться для создания ложной видимости, что blob-данные являются доступными к просмотру того, что там в них с интернета на компьютер прилетает.

Если вам удобна теория заговора, пожалуйста. Я имел в виду, что оттуда, по крайней мере, ясно, какие объекты и функции искать на, скажем, MDN, чтобы написать код и убедиться.

(Подозреваю, что код или интерпретация его вывода неправильны. Я бы проанализировал его, но плохо разбираюсь в JS, да и документацию по этим вещам придётся читать. Лучше подожду, пока это сделает кто-то другой.)