Comment Google contourner la sécurité font-usage cross-site dans Firefox avec leur nouveau service de WebFonts?

Question

Google propose WebFonts - http://code.google.com/webfonts

Ils travaillent dans Firefox, mais FF a une politique de sécurité pour arrêter l'utilisation de la police cross-site - http://hacks.mozilla.org/2009/06/beautiful-fonts-with-font-face/ (recherche Cross-site Utilisation de la police).

Quelqu'un peut-il en danger une conjecture comment ils le font? Ils utilisent des « têtes de contrôle d'accès »? Y at-il un moyen de tester pour elle?

Et ce qu'il ya des problèmes de sécurité avec l'ajout d'en-têtes de contrôle d'accès?

Merci à l'avance.

Answer 1

Oui, ils utilisent des en-têtes de contrôle d'accès. Vous pouvez utiliser Live-têtes HTTP pour vérifier:

1. Aller à la page pour une police, par exemple: http: // code. google.com/webfonts/family?family=Droid+Sans
2. Cliquez sur "Utiliser cette police"
3. Allez à l'href dans l'extrait HTML, par exemple: http: // Code .google.com / WebFonts / famille? famille = Droid + Sans
4. Activer en direct têtes HTTP
5. Allez src du CSS que vous PENED à l'étape 3. Ceci téléchargera la police et vous pouvez voir que Access-Control-Allow-Origin: * est dans les en-têtes de réponse.