Как Google охватывает безопасность STRIST-SATE STONAGE в Firefox со своими новыми услугами WebFonts?
-
30-09-2019 - |
Вопрос
Google предлагает WebFonts - http://code.google.com/webfonts.
Они работают в Firefox, но FF имеет политику безопасности, чтобы остановить использование шрифта для перекрестных сайтов - http://hacks.mozilla.org/2009/06/beautiful-fonts-with-font-face/ (Поиск на использование шрифта для перекрестных сайтов).
Может ли кто-нибудь опасность предполагаться, как они это делают? Они используют «заголовки управления доступом»? Есть ли способ тестировать на это?
И есть ли какие-либо проблемы безопасности с добавлением заголовков управления доступом?
Заранее спасибо.
Решение
Да, они используют заголовки управления доступом. Вы можете использовать заголовки Live HTTP, чтобы проверить это:
- Перейдите на страницу для шрифта, например: http://code.google.com/webfonts/family?family=droid+Sans.
- Нажмите на «Использовать этот шрифт»
- Перейти к Href в фрагменте HTML, например: http://code.google.com/webfonts/family?family=droid+Sans.
- Включить заголовки Live HTTP
- Перейдите к SRC из CSS, которые вы начнели на шаге 3. Это скачат шрифт, и вы можете увидеть, что
Access-Control-Allow-Origin: *
находится в заголовках ответа.
Не связан с StackOverflow