Benutzerhandbuch Abbrechen

Content-Sicherheitsrichtlinie

Die Content-Sicherheitsrichtlinie (Content Security Policy, CSP) ist eine Möglichkeit, die auf Ihrer Website zulässigen Skripte und Ressourcen zu beschränken. Sie können die CSP beispielsweise verwenden, um zu verhindern, dass externe Skripte auf Ihrer Website ausgeführt werden.

CSPs werden für Adobe Fonts nicht empfohlen

Es ist zwar möglich, eine CSP und Web-Schriften von Adobe auf derselben Seite zu verwenden, allerdings raten wir davon ab.  Die CSP erlaubt es uns nicht, eine Ausnahme für Inline-Stile festzulegen, die von einem Skript von einer spezifischen Domäne hinzugefügt wurden. Wenn Sie eine unsafe-inline-Ausnahme für Stile angeben, wird sie auf alle Stile von allen Domänen angewendet.

Adobe Fonts verwendet Inline-Stile und -Schriften als Daten-URIs zur Bereitstellung der Services und das Gewähren von Ausnahmen setzt einen großen Teil des durch eine CSP vorgesehenen Schutzes außer Kraft. 

Verwendung einer CSP

Wenn Sie eine CSP verwenden möchten, führen Sie die folgenden Anweisungen aus, um Ihre Sicherheitsrichtlinien korrekt einzustellen. Gehen Sie vorsichtig vor, da das Nichtbefolgen aller Anweisungen zu einer unbeabsichtigten Verletzung der Nutzungsbedingungen des Web-Schriften-Service führen kann.

  1. Die erste Richtlinie besteht darin, das Laden von Skripten von unserem CDN use.typekit.net zu gestatten:

    script-src 'self' use.typekit.net;
  2. Als Nächstes müssen Sie die Stylesheets von use.typekit.net zulassen und unsafe-inline angeben, um Skripte von allen Domänen (einschließlich use.typekit.net) zu gestatten, Inline-Stile verwenden zu können. Dies ist erforderlich, damit Schriftereignisse korrekt funktionieren.

    style-src 'self' 'unsafe-inline' use.typekit.net;
  3. Schließlich ist eine Ausnahme für Bilder von p.typekit.net erforderlich. Das Laden der Schriften verwendet ein Tracking-Bild von dieser Domäne, um die Nutzung der Schriften zu berechnen und den Schriftenhersteller die Nutzung ihrer Schriften zu vergüten.

    img-src 'self' p.typekit.net;
  4. Optional können Sie eine Ausnahme für unsere Leistungsmetriken hinzufügen. Die Leistungsmetriken werden in zufälligen Abständen gesendet und dienen zur Überwachung der Leistung unseres Schriften-Netzwerks.

    connect-src performance.typekit.net

Sie sollten diese Direktiven zu einer einzigen Richtlinie zusammenfassen und den Header „Content-Security-Policy“ in alle Ihre HTTP(S)-Antworten aufnehmen. Um ältere Versionen von Chrome, Firefox und Safari zu unterstützen, müssen Sie auch die Header „X-Content-Security-Policy“ und „X-WebKit-CSP“ aufnehmen. Weitere Informationen finden Sie in der CSP-Spezifikation des W3C.

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?