gpt4 book ai didi

security - Google 如何通过新的 Webfonts 服务绕过 Firefox 中的跨站点字体使用安全?

转载 作者:行者123 更新时间:2023-12-01 02:51:58 24 4
gpt4 key购买 nike

Google 提供网络字体 - http://code.google.com/webfonts

它们在 Firefox 中工作,但 FF 有一个安全策略来阻止跨站点字体使用 - http://hacks.mozilla.org/2009/06/beautiful-fonts-with-font-face/ (搜索跨站点字体使用)。

任何人都可以猜测他们是如何做到这一点的吗?他们是否使用“访问控制 header ”?有没有办法测试它?

添加访问控制 header 是否存在任何安全问题?

提前致谢。

最佳答案

是的,他们使用访问控制 header 。您可以使用 Live HTTP Headers 来验证这一点:

  • 转到字体页面,例如:http://code.google.com/webfonts/family?family=Droid+Sans
  • 点击“使用此字体”
  • 转到 HTML 片段中的 href,例如:http://code.google.com/webfonts/family?family=Droid+Sans
  • 启用实时 HTTP header
  • 从您在第 3 步中编写的 CSS 转到 src。这将下载字体,您可以看到 Access-Control-Allow-Origin: *在响应头中。
  • 关于security - Google 如何通过新的 Webfonts 服务绕过 Firefox 中的跨站点字体使用安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4621401/

    24 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com