Brukerveiledning Avbryt

Retningslinjer for innholdssikkerhet

Med retningslinjer for innholdssikkerhet (Content Security Policy, CSP) kan du begrense hvilke skript og ressurser som skal være tillatt på nettstedet ditt. Du kan for eksempel bruke CSP til å hindre kjøring av eksterne skript på nettstedet.

Det er ikke anbefalt å bruke CSP med Adobe Fonts

Selv om det er mulig å bruke CSP med webskrifter fra Adobe på samme side, anbefaler vi det ikke. CSP lar deg ikke angi unntak for innebygde stiler som er lagt til av et skript fra et spesifikt domene. Hvis du angir et "unsafe-inline"-unntak for stiler, vil det gjelde alle stiler fra alle domener.

Ettersom Adobe Fonts bruker innebygde stiler og skrifter som data-URI-er for å tilby tjenesten, vil mye av beskyttelsen som CSP gir, bortfalle hvis du gjør unntak for disse. 

Bruke CSP

Hvis du ønsker å bruke CSP, følger du instruksjonene under for å konfigurere sikkerhetsdirektiver. Pass på å følge instruksjonene nøyaktig for å unngå utilsiktede brudd på vilkårene for bruk for webskrifttjenesten.

  1. Det første direktivet tillater at skript kan lastes fra vårt CDN, use.typekit.net:

    script-src 'self' use.typekit.net;
  2. Tillat deretter stilark fra use.typekit.net og spesifiser "unsafe-inline" for å tillate skript fra alle domener (innbefattet use.typekit.net) å bruke innebygde stiler. Dette er nødvendig for at skrifthendelser skal fungere.

    style-src 'self' 'unsafe-inline' use.typekit.net;
  3. Til slutt må det legges til et unntak for bilder fra p.typekit.net. Ved innlasting av skrifter brukes et sporingsbilde fra dette domenet til å beregne skriftbruken og gi støperiene korrekt betaling for bruken av skriftene deres.

    img-src 'self' p.typekit.net;
  4. Du kan eventuelt legge til et unntak for resultatberegningene våre. Resultatberegninger sendes med ujevne mellomrom og brukes til å overvåke ytelsen til skriftnettverket vårt.

    connect-src performance.typekit.net

Du bør kombinere disse direktivene i én enkelt retningslinje og angi Content-Security-Policy i alle HTTP-svarene dine. For å støtte eldre versjoner av Chrome, Firefox og Safari må du også ta med overskriftene X-Content-Security-Policy og X-WebKit-CSP. Du finner mer informasjon i W3C CSP-spesifikasjonen.

Få hjelp raskere og enklere

Ny bruker?