Как Google обходит безопасность межсайтового использования шрифтов в Firefox с помощью своего нового сервиса Webfonts?

Google предлагает веб-шрифты – http://code.google.com/webfonts.

Они работают в Firefox, но в FF есть политика безопасности, запрещающая использование межсайтовых шрифтов — http://hacks.mozilla.org/2009/06/beautiful-fonts-with-font-face/ (поиск по межсайтовому использованию шрифтов).

Кто-нибудь может предположить, как они это делают? Используют ли они «заголовки управления доступом»? Есть ли способ проверить это?

И есть ли какие-либо проблемы с безопасностью при добавлении заголовков управления доступом?

Заранее спасибо.


security webfonts google-webfonts font-face
person ashchristopher    schedule 07.01.2011    source источник

Ответы (1)


arrow_upward
3
arrow_downward

Да, они используют заголовки управления доступом. Вы можете использовать Live HTTP Headers, чтобы убедиться в этом:

  1. Перейдите на страницу шрифта, например: http://code.google.com/webfonts/family?family=Droid+Sans
  2. Нажмите «Использовать этот шрифт».
  3. Перейдите к ссылке href во фрагменте HTML, например: http://code.google.com/webfonts/family?family=Droid+Sans
  4. Включить живые заголовки HTTP
  5. Перейдите к src из CSS, который вы создали на шаге 3. Это загрузит шрифт, и вы увидите, что Access-Control-Allow-Origin: * находится в заголовках ответов.
person Laurence Gonsalves    schedule 07.01.2011