4

谷歌提供网络字体 - http://code.google.com/webfonts

它们在 Firefox 中工作,但 FF 有一个安全策略来阻止跨站点字体使用 - http://hacks.mozilla.org/2009/06/beautiful-fonts-with-font-face/(搜索 Cross-Site Font用法)。

任何人都可以冒险猜测他们是如何做到这一点的吗?他们是否使用“访问控制标头”?有没有办法测试它?

添加访问控制标头是否存在任何安全问题?

提前致谢。

4

1 回答 1

3

是的,他们使用访问控制标头。您可以使用 Live HTTP Headers 来验证这一点:

  1. 转到字体页面,例如:http ://code.google.com/webfonts/family?family=Droid+Sans
  2. 点击“使用此字体”
  3. 转到 HTML 片段中的 href,例如:http ://code.google.com/webfonts/family?family=Droid+Sans
  4. 启用实时 HTTP 标头
  5. 从您在步骤 3 中编写的 CSS 转到 src。这将下载字体,您可以看到它Access-Control-Allow-Origin: *位于响应标头中。
于 2011-01-07T00:55:46.423 回答