콘텐츠 보안 정책

콘텐츠 보안 정책(CSP)은 웹 사이트에서 허용되는 스크립트 및 리소스를 제한하는 수단입니다. 예를 들어 CSP를 사용하여 웹 사이트에서 외부 스크립트가 실행되지 않도록 할 수 있습니다.

CSP는 Adobe Fonts와 함께 사용하지 않는 것이 좋습니다.

동일한 페이지에서 Adobe의 웹 글꼴과 함께 CSP를 사용할 수는 있지만 권장되지는 않습니다. CSP 정책에서는 특정 도메인의 스크립트에 의해 추가된 인라인 스타일에 대한 예외를 설정할 수 없습니다. 스타일에 대해 unsafe-inline 예외를 지정하면 모든 도메인의 모든 스타일에 적용됩니다.

Adobe Fonts는 인라인 스타일과 글꼴을 데이터 URI로 사용하여 서비스를 제공하며, 이러한 예외는 CSP에서 제공하는 대부분의 보호 기능을 무효화합니다. 

CSP 사용하기

CSP를 사용하려면 다음 안내에 따라 보안 지시문을 올바르게 설정하십시오. 이 지침을 따르지 않으면 웹 글꼴 서비스 사용 약관에 대해 의도하지 않은 위반이 발생할 수 있으므로 주의하십시오.

  1. 첫 번째 지시문은 당사의 CDN인 use.typekit.net에서 스크립트를 로드할 수 있도록 하는 것입니다.

    script-src 'self' use.typekit.net;
  2. 다음으로, use.typekit.net에서 스타일시트를 허용하고 unsafe-inline을 지정하여 모든 도메인(use.typekit.net 포함)의 스크립트가 인라인 스타일을 사용할 수 있도록 해야 합니다. 이는 글꼴 이벤트가 작동하도록 하는 데 필요합니다.

    style-src 'self' 'unsafe-inline' use.typekit.net;
  3. 마지막 요구 사항은 p.typekit.net의 이미지에 대한 예외입니다. 글꼴 로드는 이 도메인의 추적 이미지를 사용하여 글꼴 사용을 계산하고 글꼴 사용에 적합한 파운드리를 제공합니다.

    img-src 'self' p.typekit.net;
  4. 필요한 경우, 성능 메트릭에 대한 예외를 추가할 수 있습니다. 성능 메트릭은 임의의 간격으로 전송되며 글꼴 네트워크의 성능을 모니터링하는 데 사용됩니다.

    connect-src performance.typekit.net

이들 지시문을 단일 정책으로 결합하고 모든 HTTP(S) 응답에 Content-Security-Policy 헤더를 설정해야 합니다. 이전 버전의 Chrome, Firefox 및 Safari를 지원하려면 X-Content-Security-Policy 및 X-WebKit-CSP 헤더도 포함해야 합니다. 자세한 내용은 W3C CSP 사양을 참조하십시오.

Adobe 로고

내 계정 로그인