Användarhandbok Avbryt

Innehållssäkerhetspolicy

Innehållssäkerhetspolicyn är ett sätt att begränsa vilka skript och resurser som är tillåtna på din webbplats. Du kan till exempel använda sådana för att hindra externa skript från att köras på din webbplats.

Vi rekommenderar inte att innehållssäkerhetspolicyn används med Adobe Fonts

Även om det går att använda en innehållssäkerhetspolicy med webbteckensnitt från Adobe på samma sida, rekommenderar vi det inte.  Innehållssäkerhetspolicyn tillåter inte att du anger ett undantag för inline-stilar som läggs till av ett skript från en specifik domän. Om du anger ett unsafe-inline-undantag för stilar, kommer det att gälla alla stilar från alla domäner.

Adobe Fonts använder inline-stilar och teckensnitt som data-URI:er för att tillhandahålla vår tjänst, och att göra undantag för dessa omintetgör mycket av det skydd som en innehållssäkerhetspolicy tillhandahåller. 

Använda en innehållssäkerhetspolicy

Om du vill använda en innehållssäkerhetspolicy ska du göra som följer för att ställa in säkerhetsdirektiven korrekt. Var noggrann, för om du inte följer alla dessa anvisningar kan det leda till en oavsiktlig överträdelse av användarvillkoren för webbfonttjänsten.

  1. Det första direktivet är att tillåta skript att läsas in från vårt CDN, use.typekit.net:

    script-src 'self' use.typekit.net;
  2. Sedan måste du tillåta stilmallar från use.typekit.net och ange unsafe-inline för att tillåta skript från alla domäner (även use.typekit.net) att använda inline-stilar. Detta krävs om teckensnittshändelser ska fungera.

    style-src 'self' 'unsafe-inline' use.typekit.net;
  3. Det sista kravet är ett undantag för bilder från p.typekit.net. Vid teckensnittsinläsningen används en spårningsbild från denna domän för att beräkna teckensnittsanvändningen och betala stilgjuterierna för användningen av deras teckensnitt.

    img-src 'self' p.typekit.net;
  4. Alternativt kan du lägga till ett undantag för vår resultatstatistik. Resultatstatistik skickas med slumpmässiga intervall och används för att övervaka prestandan hos vårt teckensnittsnätverk.

    connect-src performance.typekit.net

Du bör kombinera dessa direktiv i samma policy och använda rubriken Content-Security-Policy i alla HTTP(S)-svar. För att stödja äldre versioner av Chrome, Firefox och Safari måste du även ta med rubriken X-Content-Security-Policy och X-WebKit-CSP. Mer information finns i W3C CSP-specifikationen.

Få hjälp snabbare och enklare

Ny användare?