1
使用由第三方提供商託管的網絡字體(如Google或Adobe)的安全隱患是什麼?使用由第三方提供商託管的網絡字體的安全隱患是什麼?
A
回答
4
Google Fonts提供了3種在您的頁面上添加字體的方法:通過link元素,通過CSS @import聲明和外部JavaScript。
不應該有任何安全問題,如果你包括使用具有type屬性設置爲「text/CSS」或通過CSS @import聲明link元素樣式表;瀏覽器只會嘗試將其讀取爲CSS並忽略任何無效的內容。
通過外部JavaScript包含字體會存在潛在的安全風險,但這一切都歸結爲信任;你相信Google或Adobe爲你託管JavaScript嗎?
+1
謝謝詹姆斯。另外,提供商能夠跟蹤您網站訪問者的IP以及瀏覽器公開的任何其他信息,例如用戶代理。對於登錄Google的用戶,他們可能擁有足夠的信息來唯一標識您訪問使用其Web字體之一的網站。 –
+0
您提到JS方法有潛在的安全風險。將字體添加爲鏈接/導入時,安全/隱私風險如何?那麼瀏覽器不相信字體來自哪個域,因此JavaScript可以從字體域或發送到字體域的數據運行?我不確定鏈接/導入方法是否將字體域添加到受信任的JS域列表中。 – slolife
相關問題
- 1. ASP.Net中的Google,Twitter等第三方安全提供商
- 2. 以HTML格式嵌入第三方圖像的安全隱患
- 3. 使用網絡提供商
- 4. 安全隱患
- 5. 安全隱患
- 6. 隱式流程的安全隱患是什麼
- 7. 使用網絡提供商和GPS提供商的GPS?
- 8. 在OpenID Connect中使用自發布供應商的安全隱患
- 9. FI-WARE身份管理 - 與第三方提供商的集成
- 10. 使用CKEditor的安全隱患
- 11. 第三方密鑰存儲提供商
- 12. OAuthServer和第三方OAuth提供商
- 13. 爲IE提供託管的EOT字體
- 14. 我的網絡服務器可以在一個託管公司,我的電子郵件由第三方託管?
- 15. Cakephp - 使用第三方提供商的身份驗證
- 16. 如何使第三方網址安全
- 17. 什麼網站提供免費的Wordpress主題是安全的?
- 18. 從網絡提供商
- 19. 什麼是安全的網絡支付體系結構
- 20. 使用第三方身份提供商與Office 365
- 21. 我有「網絡」位置提供商但得到:提供商「網絡」未知,爲什麼?
- 22. 安全性如何在生產網站上使用第三方網絡服務
- 23. 什麼是數字PDF術語中使用的bouncycastle提供商?
- 24. 這是一個安全隱患
- 25. 什麼是第三方身份驗證提供
- 26. 第三方API服務 - 網絡安全和AJAX
- 27. 什麼是網格託管
- 28. 尋求Ektron網站的託管服務提供商推薦
- 29. 網絡存儲的內容提供商
- 30. 多個提供商的網絡api
此問題屬於security.stackexchange.com –
如果您確定是這種情況,請開始將標記爲安全的20,000+個問題從Stack Overflow移至安全堆棧交換。 –