Каковы последствия для безопасности использования веб-шрифта, размещенного сторонним провайдером, например Google или Adobe?Каковы последствия для безопасности использования веб-шрифта, размещенного сторонним провайдером?
Google Fonts предлагает 3 способа включения шрифтов на вашу страницу: через элемент link через инструкцию CSS @import и через внешний JavaScript.
Там не должно быть никаких проблем безопасности, если включить таблицу стилей, используя link элемент с атрибутом type установлен в положение «текст/CSS» или через CSS @import заявление; браузер только попытается прочитать это как CSS и игнорировать все, что недействительно.
Были бы потенциальные риски для безопасности при включении шрифтов через внешний JavaScript, но все это сводится к доверию; вы доверяете Google или Adobe для размещения JavaScript для вас?
Спасибо Джеймсу. Кроме того, провайдеры смогут отслеживать IP-адреса посетителей вашего сайта и любую другую информацию, предоставляемую вашим браузером, такую как пользовательский агент. Для пользователей, зарегистрированных в Google, у них может быть достаточно информации, чтобы однозначно идентифицировать вас, посетив сайт, который использует один из своих веб-шрифтов. –
Вы упомянули, что метод JS имеет потенциальные риски безопасности. Как насчет безопасности/конфиденциальности при включении шрифта в качестве ссылки/импорта? Разве браузер не доверяет домену, из которого возник шрифт, и поэтому javascript может быть запущен из домена шрифта или данных, отправленных в домен шрифта? Я не уверен, что методы link/import добавляют домен шрифта в список доверенных доменов JS. – slolife
Этот вопрос относится к security.stackexchange.com –
Если вы уверены в этом, приступайте к работе над перемещением защищенной от 20 000 вопросов безопасности из Stack Overflow в Exchange Stack Exchange. –