Как Google справляется с межсайтовой безопасностью использования шрифтов в Firefox с помощью своей новой службы веб-шрифтов?

Question

Google предлагает веб-шрифты - http://code.google.com/webfonts

Они работают в Firefox, но FF имеет политику безопасности, чтобы остановить использование межсайтовых шрифтов - http://hacks.mozilla.org/2009/06/beautiful-fonts-with-font-face/ (поиск межсайтовых шрифтов),

Может кто-нибудь рискнуть догадаться, как они это делают?Они используют «заголовки контроля доступа»?Есть ли способ проверить это?

И есть ли какие-либо проблемы безопасности с добавлением заголовков контроля доступа?

Заранее спасибо.

Answer 1

Да, они используют заголовки контроля доступа.Вы можете использовать Live HTTP заголовки, чтобы проверить это:

1. Перейти на страницу для шрифта, например: http://code.google.com/webfonts/family?family=Droid+Sans
2. Нажмите «Использовать этот шрифт»
3. Перейдите к href во фрагменте HTML, например: http://code.google.com/webfonts/family?family=Droid+Sans
4. Включить живые заголовки HTTP
5. Перейдите к src из CSS, который вы написали на шаге 3. Это загрузит шрифти вы можете видеть, что Access-Control-Allow-Origin: * находится в заголовках ответа.