我目前正在为保险公司客户端门户做前端开发,他们的一个开发人员担心出于安全原因使用typekit.有谁知道在安全网站上使用typekit是否存在合法风险?此外,如果有人有关于此的一些文档,我可以发送给这个真正有用的开发人员,我(令人惊讶的是)无法在typekit网站上找到任何让他放心的东西.
谢谢!
包含Typekit字体的方法有很多种.当您托管自己的CSS时,@font-face规则指向Typekit服务器上的字体文件通常没问题.
在这种情况下,Typekit将接收用户作为引荐者浏览的页面的URL,但通常不应该是URL中的敏感信息,因此应该没问题.(如果您有类似重置密码链接的内容,则可能不是这样 - 如果您这样做,请注意确保只能访问此类URL,以便之后链接中的ID无价值.)
但是,有一个变体,其中包含指向它们的脚本标记:
<script type="text/javascript" src="https://use.typekit.com/some_id.js"></script>
如果您的网站执行任何敏感操作,这是一个坏主意,因为它使typekit可以完全控制用户在您网站上执行的所有操作.如果他们变坏(或被攻陷),他们可以窃取您网站上输入的所有密码,删除网站上的所有用户数据,将用户重定向到浏览器漏洞,等等.
通常,您不应该包含任何您不能完全信任您站点安全性的人员的远程脚本或样式表.