Die Content Security Policy (CSP) ist eine Möglichkeit, die auf Ihrer Website zulässigen Skripte und Ressourcen zu beschränken. Sie können die CSP beispielsweise verwenden, um zu verhindern, dass externe Skripte auf Ihrer Website ausgeführt werden.

CSPs werden für Adobe Fonts nicht empfohlen

Es ist zwar möglich, eine CSP und Webschriftarten von Adobe auf derselben Seite zu verwenden, allerdings raten wir davon ab.  Die CSP erlaubt es uns nicht, eine Ausnahme für Inline-Stile festzulegen, die von einem Skript von einer spezifischen Domäne hinzugefügt wurden. Wenn Sie eine unsafe-inline-Ausnahme für Stile angeben, wird sie auf alle Stile von allen Domänen angewendet.

Adobe Fonts verwendet Inline-Stile und -Schriften als Daten-URIs zur Bereitstellung der Dienste und das Gewähren von Ausnahmen setzt einen großen Teil des durch eine CSP vorgesehenen Schutzes außer Kraft. 

Verwenden einer CSP

Wenn Sie eine CSP verwenden möchten, führen Sie die folgenden Anweisungen aus, um Ihre Sicherheitsrichtlinien korrekt einzustellen. Gehen Sie vorsichtig vor, da das Nichtbefolgen aller Anweisungen zu einer unbeabsichtigten Verletzung der Nutzungsbedingungen des Webschriftartenservice führen kann.

  1. Die erste Richtlinie besteht darin, das Laden von Skripten von unserem CDN, use.typekit.net, zu gestatten:

    script-src 'self' use.typekit.net;
  2. Als Nächstes müssen Sie die Stylesheets von use.typekit.net zulassen und unsafe-inline angeben, um Skripten von allen Domänen (einschließlich use.typekit.net) zu gestatten, Inline-Stile verwenden zu können. Dies ist erforderlich, damit Schriftereignisse korrekt funktionieren.

    style-src 'self' 'unsafe-inline' use.typekit.net;
  3. Zu guter Letzt ist eine Ausnahme für Bilder von p.typekit.net erforderlich. Das Laden der Schriftarten verwendet ein Tracking-Bild von dieser Domäne, um die Nutzung der Schriftarten zu berechnen und die Schriftenhersteller für die Nutzung ihrer Schriftarten zu bezahlen.

    img-src 'self' p.typekit.net;
  4. Optional können Sie eine Ausnahme für unsere Leistungsmetriken hinzufügen. Die Leistungsmetriken werden in zufälligen Abständen gesendet und dienen zur Überwachung der Leistung unseres Schriftarten-Netzwerks.

    connect-src performance.typekit.net

Sie sollten diese Direktiven zu einer einzigen Richtlinie zusammenfassen und den Content-Sicherheitsrichtlinien-Header in alle Ihre HTTP(S)-Antworten aufnehmen. Um ältere Versionen von Chrome, Firefox und Safari zu unterstützen, müssen Sie auch die X-Content-Sicherheitsrichtlinie und die X-WebKit-CSP-Header aufnehmen. Weitere Informationen finden Sie in der CSP-Spezifikation der W3C.

Dieses Werk unterliegt den Bedingungen der Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise   |   Online-Datenschutzrichtlinie