packet0さんの指摘の通り、<script src=…>で指定したコンテンツのContent-Typeがtext/javascriptでなくてもJavaSriptとして実行されますが、それでも text/javascrpt を指定することを強く推奨します。それはセキュリティ上の理由からです。 <script src...>に動的コンテンツを指定する典型例として JSONP があります。JSONPのContent-Typeはtext/javascriptが正ですが、text/htmlを指定していると、クロスサイトスクリプティング(XSS)となる場合があります。例えば、JSONPとして返送されるコールバック関数が下記だったとします。 callback(['<img src=# onerror=alert(1)>']) これを返すPHPのURLをアドレスバーに指定して直接実行した場合を考えま
![<script src="ファイル名"></script>でPHPファイルを指定した時の挙動は何に基づくのでしょうか?](https://cdn-ak-scissors.b.st-hatena.com/image/square/f6bc393cd0b6bd2196935e603c5d031bd6ca6699/height=288;version=1;width=512/https%3A%2F%2Fcdn.sstatic.net%2FSites%2Fja%2FImg%2Fapple-touch-icon%402.png%3Fv%3D1cfb10b305ca)