CSP font-srcの厳格な制限は解除してはいけない
@wolphtype: Cosenseのフォントを自分のやつにしようと思ったけどそもそもCosenseのフォントの読み込みはGoogle FontsとかCloudflareしか対応してないらしい!解散!
わかる。自由なフォント使えたほうがいいshokai.icon
現状
helmetを使ってCSP font-srcに制限をかけている
src/server/controllers/middlewares/helmet.jsにて
fontSrc: ["'self'", 'cdnjs.cloudflare.com', 'fonts.gstatic.com']
scrapbox.ioとcdnjs.cloudflare.comとGoogle Fonts、以外にホストされたfontも読み込んで良いのではないか?
なんせ画像は制限してないわけだし
JavaScriptの読み込み先を解除するのはXSSの原因になるからまずいだろうけど
フォントは解放しても大丈夫なんじゃないかな
と思って調べたのだが、解除するのは危険だったshokai.icon
フォントを読み込むだけで任意コード実行できそうな脆弱性がある為
フォント関係は、ブラウザ内のXSSとかよりももっと深い層で危険な事が起こるようだ