內容安全原則

內容安全原則 (CSP) 是一種用於限制網站允許使用哪些指令碼和資源的方法。例如,您可以使用 CSP 阻止外部指令碼在您的網站上執行。

不建議將 CSP 與 Adobe Fonts 一起使用

雖然可以在同一頁面上一起使用 CSP 與 Adobe 的網頁字體,但我們不建議這樣做。  CSP 原則不允許您為來自特定網域之指令碼所新增的內嵌樣式設定例外情況。如果您為樣式指定了 unsafe-inline 例外情況,它將套用至來自所有網域的所有樣式。

Adobe Fonts 使用內嵌樣式和字體作為資料 URI 來提供我們的服務,將這些內容設定為例外情況會使得 CSP 提供的許多保護失效。

使用 CSP

如果您確實希望使用 CSP,請按照下列指示正確地設定安全性指令。請注意,若沒有遵守所有的指示可能會在無意間違反網頁字體服務使用條款

  1. 第一條指令是允許指令碼從我們的 CDN (use.typekit.net) 載入內容:

    script-src 'self' use.typekit.net;
  2. 下一步,您需要允許 use.typekit.net 中的樣式表並指定 unsafe-inline,以允許所有網域 (包括 use.typekit.net) 中的指令碼使用內嵌樣式。這是讓字體事件能正常執行的必要步驟。

    style-src 'self' 'unsafe-inline' use.typekit.net;
  3. 最後一個要求是來自 p.typekit.net 之影像的例外。「字體載入」使用來自此網域的追蹤影像來計算字體使用情況,以及支付鑄造廠使用其字體的合理費用。

    img-src 'self' p.typekit.net;
  4. 您也可以選擇為我們的效能指標新增例外情況。效能指標是隨機發送的,用於監視字體網路的效能。

    connect-src performance.typekit.net

您應該將這些指令組合為一個原則,並在所有 HTTP(S) 回應上設定「Content-Security-Policy」標題。為了支援較舊版本的 Chrome、Firefox 和 Safari,您還需要包含 X-Content-Security-Policy 和 X-WebKit-CSP 標題。有關更多資訊,請參閱 W3C CSP 規範

Adobe 標誌

登入您的帳戶