我目前正在为一家保险公司客户门户网站做前端开发,出于安全原因,他们的一位开发人员担心使用 typekit。有谁知道在安全网站上使用 typekit 是否存在合法风险?另外,如果有人有一些我可以发送给这个开发人员的文档,这真的很有帮助,我(令人惊讶的是)在 typekit 网站上找不到任何可以让他放心的东西。
谢谢!
最佳答案
包含 Typekit 字体的方法有多种。当您使用指向 Typekit 服务器上字体文件的 @font-face
规则托管自己的 CSS 时,这通常没问题。
在这种情况下,Typekit 将接收用户正在浏览的页面的 URL 作为引荐来源网址,但通常 URL 中不应包含敏感信息,因此应该没问题。 (如果您有类似重置密码链接之类的东西,这可能不是真的 - 如果有,请注意确保此类 URL 只能访问一次,以便之后链接中的 ID 毫无值(value)。)
但是有一个变体,您可以在其中包含指向它们的脚本标记:
<script type="text/javascript" src="https://use.typekit.com/some_id.js"></script>
如果您的网站做了任何敏感的事情,这是个坏主意,因为它让 typekit 可以完全控制用户在您的网站上所做的一切。如果他们作恶(或被入侵),他们可以窃取在您网站上输入的任何密码、删除网站上的所有用户数据、将用户重定向到浏览器漏洞,等等。
一般来说,您不应该包含来自您对网站安全性没有 100% 信任的任何人的远程脚本或样式表。
关于security - typekit 是否存在安全风险?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20844693/