加载网络字体是否存在安全风险?
我们的企业IE政策禁止下载网络字体.我想改变这个政策,但我找不到任何有关安全风险的可靠信息.
Web字体是否实际安装在PC上,还是由浏览器处理和呈现?如果是后者,我不明白为什么它会比处理任何其他网络资源(图像,js文件等)风险更大.
谢谢
解决方法
有一个
vulnerability rendering TTF in 2011和
another in 2015,可以允许远程代码执行.
Windows内核似乎有issues with font rendering.非TTF字体没有我能找到的任何已知的vulerabilities,但它们可能存在.