font-src
Content-Security-Policy Fetch

개요

font-src 는 @font-face 등으로 로드되는 웹폰트 파일의 출처를 제어합니다. 미지정 시 default-src 를 상속합니다. 폰트 자체는 스크립트가 아니라 실행 위험은 낮지만, 로딩 도메인을 제한하는 위생적 통제 지점입니다.

자세히

Google Fonts 를 쓴다면 스타일시트(fonts.googleapis.com)는 style-src 에, 실제 폰트 파일(fonts.gstatic.com)은 font-src 에 각각 지정해야 합니다. 이 둘을 혼동해 한쪽만 열면 폰트가 로드되지 않아 FOUT/FOIT 나 깨진 렌더가 발생합니다. 인라인 base64 폰트를 쓰면 data: 를 허용해야 합니다.

폰트는 사용자 추적 벡터로 쓰일 수 있고, 과거 폰트 파서 취약점(브라우저·OS 렌더링 엔진)이 존재했기 때문에 신뢰할 수 있는 호스트로 제한하는 것이 바람직합니다. 대부분의 사이트는 'self' + 폰트 CDN + (필요 시) data: 조합이면 충분합니다.

문법

Content-Security-Policy: font-src 'self' https://fonts.gstatic.com data:

실무 참고

관련 지시어