Google 如何通过其新的 Webfonts 服务解决 Firefox 中的跨站点字体使用安全问题?
-
30-09-2019 - |
题
谷歌提供网络字体 - http://code.google.com/webfonts
它们在 Firefox 中工作,但 FF 有一个安全策略来阻止跨站点字体使用 - http://hacks.mozilla.org/2009/06/beautiful-fonts-with-font-face/ (搜索跨站点字体使用)。
任何人都可以猜测他们是如何做到这一点的吗?他们使用“访问控制标头”吗?有没有办法测试一下?
添加访问控制标头是否存在任何安全问题?
提前致谢。
解决方案
是的,他们使用访问控制标头。您可以使用实时 HTTP 标头来验证这一点:
- 转到字体页面,例如: http://code.google.com/webfonts/family?family=Droid+Sans
- 点击“使用此字体”
- 转到 HTML 片段中的 href,例如: http://code.google.com/webfonts/family?family=Droid+Sans
- 启用实时 HTTP 标头
- 从您在步骤 3 中编写的 CSS 转到 src。这将下载字体,你可以看到
Access-Control-Allow-Origin: *
位于响应标头中。
不隶属于 StackOverflow