Google 如何通过其新的 Webfonts 服务解决 Firefox 中的跨站点字体使用安全问题？

Question

谷歌提供网络字体 - http://code.google.com/webfonts

它们在 Firefox 中工作，但 FF 有一个安全策略来阻止跨站点字体使用 - http://hacks.mozilla.org/2009/06/beautiful-fonts-with-font-face/ （搜索跨站点字体使用）。

任何人都可以猜测他们是如何做到这一点的吗？他们使用“访问控制标头”吗？有没有办法测试一下？

添加访问控制标头是否存在任何安全问题？

提前致谢。

Answer 1

是的，他们使用访问控制标头。您可以使用实时 HTTP 标头来验证这一点：

1. 转到字体页面，例如： http://code.google.com/webfonts/family?family=Droid+Sans
2. 点击“使用此字体”
3. 转到 HTML 片段中的 href，例如： http://code.google.com/webfonts/family?family=Droid+Sans
4. 启用实时 HTTP 标头
5. 从您在步骤 3 中编写的 CSS 转到 src。这将下载字体，你可以看到 Access-Control-Allow-Origin: * 位于响应标头中。