Google 如何通过其新的 Webfonts 服务解决 Firefox 中的跨站点字体使用安全问题？

Question

Google 提供了网络字体 - http://code.google.com/webfonts

它们可以在 Firefox 中使用，但 FF 具有阻止跨站点字体使用的安全策略 - http:// /hacks.mozilla.org/2009/06/beautiful-fonts-with-font-face/（搜索跨站点字体使用）。

任何人都可以猜测他们是如何做到这一点的吗？他们使用“访问控制标头”吗？有没有办法测试一下？

添加访问控制标头是否存在任何安全问题？

提前致谢。

Answer 1

是的，他们使用访问控制标头。您可以使用实时 HTTP 标头来验证这一点：

1. 转到字体页面，例如：http://code.google.com/webfonts/family?family=Droid+Sans
2. 点击“使用此字体”
3. 转到 HTML 代码段中的 href，例如：http://code.google.com/webfonts/family?family=Droid+Sans
4. 启用实时 HTTP 标头
5. 从您在步骤 3 中编写的 CSS 转到 src。这将下载字体，您可以在响应标头中看到 Access-Control-Allow-Origin: * 。