Политика безопасности контента

Политика безопасности контента (CSP) позволяет ограничивать набор скриптов и ресурсов, разрешенных на вашем сайте. Например, при помощи CSP можно запретить выполнение внешних скриптов на вашем сайте.

CSP не рекомендуется использовать со шрифтами Adobe Fonts

Хотя использование CSP на одной странице с веб-шрифтами Adobe теоретически возможно, мы этого не рекомендуем. Политика CSP не позволяет делать исключение для встроенных стилей, добавляемых скриптом из определенного домена. Если вы укажете исключение unsafe-inline для стилей, оно будет применяться ко всем стилям из всех доменов.

Adobe Fonts использует встроенные стили и шрифты в качестве URI данных для пользователей нашего сервиса, и создание исключений для этих стилей и шрифтов сводит на нет большую часть защиты, предоставляемой CSP. 

Использование CSP

Если вы действительно хотите использовать CSP, следуйте этим инструкциям для правильной настройки директив безопасности. Будьте внимательны, поскольку несоблюдение каждой из этих инструкций может привести к непреднамеренному нарушению Условий использования сервиса веб-шрифтов.

  1. Первая директива — разрешить загрузку скриптов с нашей CDN, use.typekit.net:

    script-src 'self' use.typekit.net;
  2. Затем необходимо разрешить таблицы стилей из use.typekit.net и указать параметр unsafe-inline, чтобы скрипты из всех доменов (включая use.typekit.net) могли использовать встроенные стили. Это необходимо для правильной работы событий шрифтов.

    style-src 'self' 'unsafe-inline' use.typekit.net;
  3. Последним требованием является исключение для изображений из p.typekit.net. При загрузке шрифтов используется контрольное изображение из данного домена, позволяющее рассчитывать частоту использования шрифтов и определять размер выплат студиям типографики за использование их шрифтов.

    img-src 'self' p.typekit.net;
  4. При желании вы можете добавить исключение для наших показателей эффективности. Показатели эффективности отправляются через случайные интервалы и используются для мониторинга работы нашей сети шрифтов.

    connect-src performance.typekit.net

Вы должны объединить эти директивы в одну политику и установить заголовок Content-Security-Policy на все ваши ответы HTTP(S). Для поддержки более старых версий браузеров Chrome, Firefox и Safari вам также необходимо включить заголовки X-Content-Security-Policy и X-WebKit-CSP. Дополнительную информацию см. в Спецификации W3C CSP.

Логотип Adobe

Вход в учетную запись