.htaccess, Schriften und Cross-Origin

Habor · Aug 11th 2018

Moin,

ich ziehe webseitenübergreifende Assets gerade zusammen (js, css, html, img, ....).

Diese Assets liegen jetzt alle im Rootordner vom Webspace hier. Die eigentlichen Domains liegen in einem eigenen Unterordner.

Im Root (httpdocs), als auch in den eigentlichen Domainunterordnern liegen .htaccess Dateien.

Später soll die "Access-Control-Allow-Origin" Headerconfiguration in Root nur für die Domains gelten, aber erstmal reicht *.

Ich kann alle Root-Assets ohne Probleme von den Domains aus verwenden. Außer Schriften.

Siehe Entwicklertoolskonsole:

https://www.eurasian-federation.de/EF#Home

Root .htaccess:

Display Spoiler

Code

# Interessant:

# Order deny,allow
# Deny from 127.0.0
# Allow from 127.0.0.1

# HTML für individuelle Fehleranzeige
# ErrorDocument 404 /General.php

# Options -Indexes

# Expire headers 5184000 Sekunden = 2 Monate
<IfModule mod_expires.c>
    ExpiresActive On
    ExpiresByType audio/mp3 "access plus 604800 seconds"
    ExpiresByType image/x-icon "access plus 86400 seconds"
    ExpiresByType image/gif "access plus 604800 seconds"
    ExpiresByType image/jpg "access plus 604800 seconds"
    ExpiresByType image/png "access plus 604800 seconds"
    ExpiresByType text/css "access plus 86400 seconds"
    ExpiresByType text/javascript "access plus 86400 seconds"
    ExpiresByType application/javascript "access plus 86400 seconds"
    ExpiresByType application/x-javascript "access plus 86400 seconds"
</IfModule>

# BEGIN Cache-Control Headers
<ifmodule mod_headers.c>
    <filesmatch "\\.(ico|jpe?g|png|gif|swf)$">
        Header set Cache-Control "max-age=604800, private"
    </filesmatch>
    <filesmatch "\\.(css|js)$">
        Header set Cache-Control "max-age=0, no-cache, no-store, must-revalidate"
        Header set Pragma "no-cache"
        Header set Expires "Mon, 1 Jan 2010 01:00:00 GMT"
    </filesmatch>

    Header add Access-Control-Allow-Headers "origin, x-requested-with, content-type, cache-control"
    Header add Access-Control-Allow-Methods "PUT, GET, POST, DELETE, OPTIONS"
    Header set Access-Control-Allow-Origin "*"
    #"https://www.eurasian-federation.de"
</ifmodule>

# Turn ETags Off
<ifmodule mod_headers.c>
    Header unset ETag
</ifmodule>
FileETag None

<ifmodule mod_rewrite.c>
    AddType audio/mp3 .mp3

    AddType video/ogg .ogv
    AddType video/webm .webm
    AddType video/mp4 .mp4

    AddType font/opentype .otf
    AddType font/truetype .ttf
    AddType application/font-woff .woff
    AddType application/vnd.ms-fontobject .eot
</ifmodule>
SetEnvIfNoCase Request_URI \.(ogv|mp4|webm)$ no-gzip dont-vary

Display More

Was muss ich tun, damit die Schriften, die im Root-httpdocs-Verzeichnis liegen (z.B. https://hosting110480.a2f36.ne…/Fonts/Tahoma/Tahoma.woff), ordentlich mit dem "Access-Control-Allow-Origin *" Header versehen werden, damit sie in den anderen Domains verwendet werden können?

Über sonstige Fehleranmerkungen wäre ich sehr dankbar.

Habor

olpo · Feb 27th 2019

Hast du es hinbekommen?

Habe gerade ein ähnliches Problem.

Steini · Feb 27th 2019

Quote from Habor

Was muss ich tun, damit die Schriften, die im Root-httpdocs-Verzeichnis liegen (z.B. https://hosting110480.a2f36.ne…/Fonts/Tahoma/Tahoma.woff), ordentlich mit dem "Access-Control-Allow-Origin *" Header versehen werden, damit sie in den anderen Domains verwendet werden können?

Über sonstige Fehleranmerkungen wäre ich sehr dankbar.

Habor

https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS

Wenn ich das richtig verstanden habe, willst du dass deine Schriftart nicht von einer anderen Seite aus eingebunden werden kann? Das funktioniert so nicht mit den Headern. Die Header sind dazu da, um deine Besucher vor dir zu schützen, nicht die Besucher von deinen Inhalten vernzuhalten.

Der Header wird einer Seite mitgeliefert und sagt dem Browser, welche zusätzlichen Elemente er von wo laden darf. Das dient dazu, deine Nutzer gegen Angriffe abzusichern, falls zum Beispiel Fremdcode in deine Seite eingebaut wurde um den Seitenaufrufer zu infizieren.

Bei deinem Anwendungsfall (wenn ich ihn richtig verstanden habe) müsste der Webserver überprüfen, ob derjenige der die Schrift anfragt vorher die Hauptseite aufgerufen hat. Prinzipiell ist sowas vielleicht möglich (über referrer), funktioniert aber nicht zuverlässig und führt zu viel Frust und Arbeit.