Typekit是否存在安全风险？

有多种方式可以包含Typekit字体。当您使用@font-face规则托管自己的CSS并将其指向Typekit服务器上的字体文件时，通常情况下都是可以的。
在这种情况下，Typekit将接收用户正在浏览的页面的URL作为引荐者，但通常URL中不应该包含敏感信息，所以这应该没问题。（如果您有像重置密码链接之类的东西，则可能不会如此-如果是这样，请注意确保此类URL只能访问一次，因此链接中的ID后来将毫无价值。）
但是有一种变体，其中您需要包含指向它们的脚本标记：

<script type="text/javascript" src="https://use.typekit.com/some_id.js"></script>

这是一个不好的想法，如果你的网站涉及到任何敏感信息，因为它会让Typekit完全控制用户在你的网站上所做的一切。如果他们变得邪恶（或被攻击），他们可以窃取在你的网站上输入的任何密码，删除所有用户在该网站上的数据，将用户重定向到浏览器漏洞等等。
通常情况下，你不应该从任何你不能百分之百信任其网站安全性的人那里包含远程脚本或样式表。

任何时候，无论是从外部源嵌入JS、CSS、字体或任何其他内容到敏感页面，都会增加攻击面。这并不一定意味着存在或将会发生特定的攻击，但它确实创造了更多潜在的方式来危及您的网站。
事实上，即使没有JavaScript，也有使用Web字体进行现实世界攻击的情况，其中一些基于浏览器/操作系统漏洞，而另一些则基于故意浏览器功能的交互。Firefox安全扩展程序NoScript因此默认阻止CSS @font-face。
如果您想在安全站点上使用自定义字体，最安全的方法是自己托管它 - 可以放在站点本身上，或者更好的做法是从一个由您控制但通过浏览器同源策略与主网站内容隔离的独立no-cookie domain上托管。