Handboek Annuleren

Beveiligingsbeleid voor inhoud

Het Beveiligingsbeleid voor inhoud (CSP) is een middel om te beperken welke scripts en bronnen zijn toegestaan op uw website. U kunt CSP bijvoorbeeld gebruiken om te voorkomen dat externe scripts op uw website worden uitgevoerd.

CSP's worden niet aanbevolen voor gebruik met Adobe Fonts

Hoewel het mogelijk is om een CSP te gebruiken met weblettertypen van Adobe op dezelfde pagina, raden wij dit niet aan.  Met het CSP-beleid kunt u geen uitzondering instellen voor inline-stijlen die zijn toegevoegd door een script van een specifiek domein. Als u een unsafe-inline-uitzondering opgeeft voor stijlen, dan zal deze gelden voor alle stijlen van alle domeinen.

Adobe Fonts gebruikt inline stijlen en lettertypen als gegevens-URI's om onze service te leveren, en door hiervoor uitzonderingen te maken wordt veel van de bescherming die een CSP biedt tenietgedaan.

Een CSP gebruiken

Als u toch een CSP wilt gebruiken, volgt u deze instructies om uw beveiligingsrichtlijnen correct in te stellen. Wees voorzichtig, want als u niet al deze instructies correct opvolgt, kan dit leiden tot een onopzettelijke overtreding van de Gebruiksvoorwaarden voor de weblettertypeservice.

  1. De eerste richtlijn is om scripts toe te staan om te laden vanaf onze CDN, use.typekit.net:

    script-src 'self' use.typekit.net;
  2. Vervolgens moet u stylesheets van use.typekit.net toestaan en unsafe-inline specificeren om scripts van alle domeinen (inclusief use.typekit.net) toe te staan inline stijlen te gebruiken. Dit is nodig om lettertype-events te laten werken.

    style-src 'self' 'unsafe-inline' use.typekit.net;
  3. De laatste vereiste is een uitzondering voor afbeeldingen van p.typekit.net. Het laden van lettertypes gebruikt een trackingafbeelding van dit domein om het gebruik van lettertypes te berekenen en gieterijen gepast te betalen voor het gebruik van hun lettertypes.

    img-src 'self' p.typekit.net;
  4. Optioneel kunt u een uitzondering toevoegen voor onze prestatiemetingen. Prestatiemetingen worden met willekeurige tussenpozen verzonden en worden gebruikt om de prestaties van ons lettertypenetwerk te controleren.

    connect-src performance.typekit.net

U moet deze richtlijnen combineren in een enkel beleid en de Content-Security-Policy-header instellen op al uw HTTP(S)-antwoorden. Om oudere versies van Chrome, Firefox en Safari te ondersteunen, moet u ook de headers X-Content-Security-Policy en X-WebKit-CSP opnemen. Voor meer informatie verwijzen wij u naar de W3C CSP-specificatie.

Krijg sneller en gemakkelijker hulp

Nieuwe gebruiker?