Aktuell werden in Deutschland Abmahnungen zum Einsatz von Google Fonts versendet. Hierzu ein Link auf den Artikel im Magazin Der Spiegel "Sind Googles Schriftarten ein Grund für 100 Euro Schadensersatz?" (aktuell noch hinter einer Paywall).
Gerade wenn man viele Websites verwaltet oder aber nicht zu tief in der Entwicklung der Websites steckt, ist hier eine schnelle und einfache Lösung gewünscht.
Im Folgenden zeigen wir daher, wie man das Nachladen von Google Fonts per "Content-Security-Policy" Header, den Browser anweisen kann, keine Schriften von externen Seiten zu laden.
Damit verhindert man auch das Nachladen von Schriften, die beispielsweise dynamisch per Google ReCaptcha, Google Maps oder YouTube nachgeladen werden.
# Apache - disable loading fonts from external sources
Header add Content-Security-Policy "font-src 'self';"
Header add X-Content-Security-Policy "font-src 'self';"
Header add X-Webkit-CSP "font-src 'self';"
# Nginx - disable loading fonts from external sources
add_header Content-Security-Policy "font-src 'self';";
add_header X-Content-Security-Policy "font-src 'self';";
add_header X-Webkit-CSP "font-src 'self';";