.htaccess, Schriften und Cross-Origin

  • Moin,


    ich ziehe webseitenübergreifende Assets gerade zusammen (js, css, html, img, ....).

    Diese Assets liegen jetzt alle im Rootordner vom Webspace hier. Die eigentlichen Domains liegen in einem eigenen Unterordner.

    Im Root (httpdocs), als auch in den eigentlichen Domainunterordnern liegen .htaccess Dateien.

    Später soll die "Access-Control-Allow-Origin" Headerconfiguration in Root nur für die Domains gelten, aber erstmal reicht *.

    Ich kann alle Root-Assets ohne Probleme von den Domains aus verwenden. Außer Schriften.


    Siehe Entwicklertoolskonsole:

    https://www.eurasian-federation.de/EF#Home


    Root .htaccess:


    Was muss ich tun, damit die Schriften, die im Root-httpdocs-Verzeichnis liegen (z.B. https://hosting110480.a2f36.ne…/Fonts/Tahoma/Tahoma.woff), ordentlich mit dem "Access-Control-Allow-Origin *" Header versehen werden, damit sie in den anderen Domains verwendet werden können?


    Über sonstige Fehleranmerkungen wäre ich sehr dankbar. ;)


    Habor

  • Was muss ich tun, damit die Schriften, die im Root-httpdocs-Verzeichnis liegen (z.B. https://hosting110480.a2f36.ne…/Fonts/Tahoma/Tahoma.woff), ordentlich mit dem "Access-Control-Allow-Origin *" Header versehen werden, damit sie in den anderen Domains verwendet werden können?


    Über sonstige Fehleranmerkungen wäre ich sehr dankbar. ;)


    Habor

    https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS


    Wenn ich das richtig verstanden habe, willst du dass deine Schriftart nicht von einer anderen Seite aus eingebunden werden kann? Das funktioniert so nicht mit den Headern. Die Header sind dazu da, um deine Besucher vor dir zu schützen, nicht die Besucher von deinen Inhalten vernzuhalten.

    Der Header wird einer Seite mitgeliefert und sagt dem Browser, welche zusätzlichen Elemente er von wo laden darf. Das dient dazu, deine Nutzer gegen Angriffe abzusichern, falls zum Beispiel Fremdcode in deine Seite eingebaut wurde um den Seitenaufrufer zu infizieren.


    Bei deinem Anwendungsfall (wenn ich ihn richtig verstanden habe) müsste der Webserver überprüfen, ob derjenige der die Schrift anfragt vorher die Hauptseite aufgerufen hat. Prinzipiell ist sowas vielleicht möglich (über referrer), funktioniert aber nicht zuverlässig und führt zu viel Frust und Arbeit.