Comment Google contourner la sécurité font-usage cross-site dans Firefox avec leur nouveau service de WebFonts?
-
30-09-2019 - |
Question
Google propose WebFonts - http://code.google.com/webfonts
Ils travaillent dans Firefox, mais FF a une politique de sécurité pour arrêter l'utilisation de la police cross-site - http://hacks.mozilla.org/2009/06/beautiful-fonts-with-font-face/ (recherche Cross-site Utilisation de la police).
Quelqu'un peut-il en danger une conjecture comment ils le font? Ils utilisent des « têtes de contrôle d'accès »? Y at-il un moyen de tester pour elle?
Et ce qu'il ya des problèmes de sécurité avec l'ajout d'en-têtes de contrôle d'accès?
Merci à l'avance.
La solution
Oui, ils utilisent des en-têtes de contrôle d'accès. Vous pouvez utiliser Live-têtes HTTP pour vérifier:
- Aller à la page pour une police, par exemple: http: // code. google.com/webfonts/family?family=Droid+Sans
- Cliquez sur "Utiliser cette police"
- Allez à l'href dans l'extrait HTML, par exemple: http: // Code .google.com / WebFonts / famille? famille = Droid + Sans
- Activer en direct têtes HTTP
- Allez src du CSS que vous PENED à l'étape 3. Ceci téléchargera la police et vous pouvez voir que
Access-Control-Allow-Origin: *
est dans les en-têtes de réponse.
Licencié sous: CC-BY-SA avec attribution
Non affilié à StackOverflow