<分区>
加载网络字体是否存在任何安全风险?
我们公司的 IE 政策禁止下载网络字体。我想更改该政策,但我找不到任何关于安全风险的可靠信息。
Web 字体是否实际安装在 PC 上,或者它们只是由浏览器处理和呈现?如果是后者,我不明白为什么它会比处理任何其他网络资源(图像、js 文件等)的风险更大。
谢谢
<分区>
加载网络字体是否存在任何安全风险?
我们公司的 IE 政策禁止下载网络字体。我想更改该政策,但我找不到任何关于安全风险的可靠信息。
Web 字体是否实际安装在 PC 上,或者它们只是由浏览器处理和呈现?如果是后者,我不明白为什么它会比处理任何其他网络资源(图像、js 文件等)的风险更大。
谢谢
最佳答案
有一个vulnerability rendering TTF in 2011和 another in 2015 ,这可能允许远程代码执行。
Windows 内核似乎有 issues with font rendering .非 TTF 字体没有任何我能找到的已知漏洞,但它们可能存在。
关于html5 网络字体安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21049629/