La CSP permet de contrôler les scripts et les ressources autorisés sur votre site Web. Vous pouvez, par exemple, recourir à la CSP pour arrêter l’exécution des scripts externes sur votre site Web.

L’utilisation des CSP n’est pas recommandée avec Adobe Fonts

Même s’il est possible d’utiliser une CSP avec des polices web d’Adobe sur une même page, cela n’est pas recommandé. La politique CSP ne permet pas de définir une exception pour les styles intralignes (inline) ajoutés à un script à partir d’un domaine spécifique. Si vous définissez une exception unsafe-inline pour les styles, elle s’applique à tous les styles de l’ensemble des domaines.

Dans le cadre de son fonctionnement, Adobe Fonts a recours à des polices et à des styles intralignes comme des URI de données ; le fait de définir des exceptions pour ces polices et styles revient à éliminer la majeure partie de la protection assurée par une CSP. 

Utilisation d’une CSP

Si vous souhaitez utiliser une CSP, procédez comme suit pour définir correctement vos directives de sécurité. Soyez vigilant, car tout manquement ou omission à ces instructions risque de se traduire par une infraction involontaire aux conditions d’utilisation du service des polices web.

  1. La première directive vise à autoriser le chargement des scripts à partir de notre réseau de diffusion de contenu (CDN), use.typekit.net :

    script-src 'self' use.typekit.net;
  2. Ensuite, vous devez autoriser les feuilles de style de use.typekit.net et définir une directive unsafe-inline pour autoriser les scripts de tous les domaines (y compris use.typekit.net) à utiliser les styles intralignes. Cela est nécessaire pour que les événements typographiques fonctionnent.

    style-src 'self' 'unsafe-inline' use.typekit.net;
  3. Enfin, définissez une exception pour les images de p.typekit.net. Le chargement de polices utilise une image de suivi issue de ce domaine pour calculer l’usage des polices et payer les fonderies en fonction de l’utilisation de leurs polices.

    img-src 'self' p.typekit.net;
  4. Vous pouvez également ajouter une exception pour nos mesures de performances. Celles-ci sont envoyées à intervalles aléatoires et servent à surveiller les performances de notre réseau de polices.

    connect-src performance.typekit.net

Vous devez combiner ces directives en une seule politique et définir l’en-tête Content-Security-Policy sur toutes vos réponses HTTP(S). Pour prendre en charge les anciennes versions de Chrome, Firefox et Safari, vous devez inclure les en-têtes X-Content-Security-Policy et X-WebKit-CSP. Pour en savoir plus, reportez-vous à la spécification CSP W3C.

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne