我目前正在为保险公司客户端门户进行前端开发,其中一位开发人员担心出于安全原因使用typekit。有谁知道在安全网站上使用typekit是否存在合法风险?此外,如果有人有一些关于这方面的文档,我可以发送给这个真正有用的开发人员,我(令人惊讶的是)无法在typekit网站上找到任何可以让他放心的东西。
谢谢!
答案 0 :(得分:5)
包含Typekit字体的方法有很多种。当您使用@font-face规则托管自己的CSS时,指向Typekit服务器上的字体文件通常没问题。
在这种情况下,Typekit将接收用户作为引荐者浏览的页面的URL,但通常不应该在URL中包含敏感信息,因此应该没问题。 (如果您有类似重置密码链接的内容,则可能不是这样 - 如果您这样做,请注意确保只能访问此类URL,以便之后链接中的ID无价值。)
但是,有一个变体,其中包含指向它们的脚本标记:
<script type="text/javascript" src="https://use.typekit.com/some_id.js"></script>
如果您的网站执行任何敏感操作,这是一个坏主意,因为它使typekit可以完全控制用户在您网站上执行的所有操作。如果他们变得邪恶(或被攻陷),他们可以窃取您网站上输入的所有密码,删除网站上的所有用户数据,将用户重定向到浏览器漏洞利用等等。
一般情况下,您绝不应该包含任何您不信任的网站安全性的远程脚本或样式表。
答案 1 :(得分:2)
每当您嵌入内容时,无论是JS,CSS,字体还是其他任何东西,从外部来源到敏感页面,您都会增加攻击面。这并不一定意味着存在或将会发生特定攻击,但它确实会创建更多潜在方式,从而使您的网站遭到入侵。
事实上,即使没有JavaScript,也存在使用网络字体的真实攻击,based on browser / OS bugs和based on interactions of deliberate browser features。因此,Firefox安全扩展NoScript blocks CSS @font-face by default。
如果您想在安全网站上使用自定义字体,最安全的方法是自己托管 - 无论是在网站本身,还是更好的是,从单独的no-cookie domain进行托管。在您的控制下,但通过浏览器同源政策与您的主要网站内容隔离。