0

我们在 S3 上托管了一个字体作为 woff 并通过 CSS 引用。S3 存储桶配置了 CORS,以允许从任何地方进行跨站点访问。通常,字体显示没有问题。但是,有时 Firefox 无法呈现字体并且错误控制台报告“不允许的错误 URI 或跨站点访问”。我正在尝试弄清楚 FF 用于从 S3 获取字体资源的 HTTP 调用序列,但没有取得多大成功,因此我可以使用 curl 调试情况。到目前为止,调试与

curl -s -I -X OPTIONS --header "Origin: http://www.foo.com" --header "Access-Control-Request-Method: GET" s3.amazonaws.com/font.woff

只产生了 HTTP 200 响应,即没有提供有关可能失败的信息。我不知道如何弄清楚发生了什么。我不知道 S3 是否偶尔返回对 OPTIONS 请求的虚假 403 响应、对资源本身请求的 403 响应,或者我们的 HTML/CSS 以某种方式被巧妙地破坏和/或暴露了 FF 中的错误。有什么建议么?

4

1 回答 1

0

这看起来是针对 firefox 实施的 xss(跨站点脚本)攻击的有意预防措施。

在此处阅读一种可能的解决方案:Firefox 上的可下载字体:不允许使用错误的 URI 或跨站点访问

于 2013-08-16T21:32:36.463 回答