Logo da CarameloSec - Plataforma de análise de segurança automatizada

CSP Font-Src Value

Checker ID: #21

v1.0.0-alpha

CSP Font-Src Value

Descrição

Controla de onde as fontes de texto (tipografia) podem ser baixadas.

Importância

Fontes carregadas de locais desconhecidos podem ser usadas para explorar vulnerabilidades no mecanismo de renderização de fontes do navegador ou para desfigurar o texto do site. Mantenha suas fontes vindo apenas do seu servidor ou de bibliotecas conhecidas e confiáveis.

Requisitos de Sucesso

  • • O parâmetro font-src deve estar presente, ou deve existir um default-src seguro ('none' ou 'self') que sirva de fallback.

  • • Valores aceitos: 'self', 'none', URLs HTTPS específicas de bibliotecas de fontes conhecidas (ex.: https://fonts.gstatic.com para Google Fonts, https://use.typekit.net para Adobe Fonts).

Cenários de Teste
Cenário Aprovado: Permite apenas o próprio servidor e Google Fonts: 
HTTP/1.1 200 OK
Content-Security-Policy: font-src 'self' https://fonts.gstatic.com;
Content-Type: text/html; charset=UTF-8
Cenário Aprovado: Sem font-src, mas com default-src seguro como fallback: 
HTTP/1.1 200 OK
Content-Security-Policy: default-src 'self';
Content-Type: text/html; charset=UTF-8
Cenário Reprovado: Permite fontes de qualquer origem (abre brecha para exploits via arquivos de fonte maliciosos): 
HTTP/1.1 200 OK
Content-Security-Policy: font-src *;
Content-Type: text/html; charset=UTF-8