Käyttöopas Peruuta

Sisällön suojauskäytäntö

Sisällön suojauskäytännön (Content Security Policy, CSP) avulla voit rajoittaa, mitkä komentosarjat ja resurssit ovat sallittuja sivustossasi. CSP:llä voit esimerkiksi estää ulkoisten komentosarjojen suorittamisen sivustossasi.

CSP:itä ei suositella käytettäviksi Adobe Fonts -kirjasimien kanssa.

Vaikka CSP:tä voi käyttää Adoben verkkokirjasimien kanssa samalla sivulla, emme suosittele tätä.  CSP-käytäntö ei salli poikkeuksen määrittämistä tietyn toimialueen komentosarjan lisäämille upotetuille tyyleille. Jos määrität tyyleille epäturvallisen upotetun poikkeuksen, sitä sovelletaan kaikkien toimialueiden kaikkiin tyyleihin.

Adobe Fonts käyttää upotettuja tyylejä ja kirjasimia tieto-URI-osoitteina palvelumme tarjoamiseen, ja poikkeuksien tekeminen niille mitätöi suuren osan CSP:n tarjoamasta suojasta. 

CSP:n käyttäminen

Jos haluat käyttää CSP:tä, määritä suojausohjeet asianmukaisesti toimimalla näiden ohjeiden mukaan. Ole huolellinen, sillä kaikkien näiden ohjeiden noudattamatta jättäminen voi johtaa verkkokirjasinpalvelun käyttöehtojen tahattomaan rikkomiseen.

  1. Ensimmäisenä ohjeena on sallia komentosarjojen lataaminen CDN:stä, osoitteesta use.typekit.net:

    script-src 'self' use.typekit.net;
  2. Seuraavaksi sinun on sallittava tyylitaulukot osoitteesta use.typekit.net ja määritettävä epäturvallinen upotus, jotta kaikkien toimialueiden (myös use.typekit.net) komentosarjat voivat käyttää upotettuja tyylejä. Tämä on tarpeen kirjasintapahtumien toiminnan kannalta.

    style-src 'self' 'unsafe-inline' use.typekit.net;
  3. Viimeisenä vaatimuksena on luoda poikkeus kuville osoitteessa p.typekit.net. Kirjasimia ladattaessa käytetään tämän toimialueen seurantakuvaa, jonka avulla lasketaan kirjasimien käyttö ja kirjasintoimittajille suoritetaan asianmukainen maksu niiden kirjasimien käytöstä.

    img-src 'self' p.typekit.net;
  4. Voit halutessasi lisätä poikkeuksen suorituskykymittareillemme. Suorituskykymittarit lähetetään satunnaisin väliajoin, ja niitä käytetään kirjasinverkostomme toiminnan seurantaan.

    connect-src performance.typekit.net

Sinun on yhdistettävä nämä ohjeet yhdeksi käytännöksi ja lisättävä Content-Security-Policy‑otsikko kaikkiin HTTP(S)-vastauksiisi. Chromen, Firefoxin ja Safarin vanhempien versioiden tueksi sinun on lisättävä myös X-Content-Security-Policy- ja X-WebKit-CSP-otsikot. Lisätietoja on W3C CSP -määrityksissä.

Pyydä apua nopeammin ja helpommin

Oletko uusi käyttäjä?