Política de Segurança de Conteúdo

Política de Segurança de Conteúdo (CSP) é uma maneira de restringir quais scripts e recursos são permitidos em seu site. Você pode, por exemplo, utilizar a CSP para impedir que scripts externos sejam executados em seu site.

Não é recomendado utilizar CSPs com fontes do Adobe Fonts

Embora seja possível usar uma CSP com fontes da Web da Adobe na mesma página, não recomendamos fazer isso. A política CSP não permite definir uma exceção para estilos inline adicionados por um script de outro domínio. Se você definir uma exceção unsafe-inline para estilos, ela será aplicada a todos os estilos de todos os domínios.

O Adobe Fonts utiliza estilos inline e fontes como URIs de dados para fornecer nosso serviço, e abrir exceções a eles anula boa parte da proteção fornecida por uma CSP. 

Como usar uma CSP

Se você deseja usar uma CSP, siga estas instruções para definir corretamente suas diretrizes de segurança. Cuidado, pois deixar de seguir corretamente todas estas instruções pode resultar em uma violação acidental dos Termos de uso do serviço de fontes da Web.

  1. A primeira diretriz é permitir que scripts sejam carregados de nossa CDN, use.typekit.net:

    script-src 'self' use.typekit.net;
  2. Depois, você precisa conceder permissão para stylesheets de use.typekit.net e especificar o unsafe-inline para permitir que scripts de todos os domínios (incluindo use.typekit.net) utilizem estilos inline. Isso é necessário para que eventos de fonte funcionem.

    style-src 'self' 'unsafe-inline' use.typekit.net;
  3. O último requisito é uma exceção para imagens de p.typekit.net. O carregamento de fontes utiliza uma imagem de rastreamento desse domínio para calcular o uso da fonte e pagar corretamente aos fornecedores pelo uso de suas fontes.

    img-src 'self' p.typekit.net;
  4. Você também pode adicionar uma exceção para nossas métricas de desempenho se quiser. As métricas de desempenho são enviadas a intervalos aleatórios e usadas para monitorar o desempenho de nossa rede de fontes.

    connect-src performance.typekit.net

Você deve combinar essas diretrizes em uma política única e definir o cabeçalho da Content-Security-Policy em todas as suas respostas HTTP(S). Para oferecer suporte a versões anteriores do Chrome, do Firefox e do Safari, você precisará incluir os cabeçalhos X-Content-Security-Policy e X-WebKit-CSP. Para obter mais informações, consulte a especificação de CSP da W3C.

Logotipo da Adobe

Fazer logon em sua conta